Les techniques anti-censures de l’app Signal empêchées par Google et AWS

N’appréciant visiblement pas les techniques anti-censures de Signal, Amazon Web Services (AWS) menace de censurer cette app de messagerie chiffrée. Depuis un an et demi, Signal est interdite et bloquée dans différents pays, notamment en Egypte, à Oman et dans les Emirats arabes unis. La solution de messagerie ultra sécurisée contourne ces restrictions en passant par la tactique dite du « domain fronting», qui permet aux développeurs de camoufler le trafic web et donner l'impression qu'il provient d'une source différente. Dans un billet de blog rapportant les menaces d’AWS à son encontre, Signal explique que cette technique exploite une particularité de l’architecture de certaines plateformes cloud liée au protocole de sécurisation TLS: «Google et Amazon ont construit leur couche de terminaison TLS séparément de leur couche de traitement des requêtes, de telle sorte qu'il était possible de créer ce qui ressemblait à une connexion TLS pour le domaine A avec une requête qui était en réalité reçue et traitée par le domaine B.»

Pour contourner les censures étatiques, Signal utilisait cette technique sur le cloud de Google. Or, la firme de Mountain View a tout récemment effectué une mise à jour empêchant la pratique du «domain fronting». Signal s’est alors tourné vers AWS, afin de contourner les restrictions en simulant des requêtes via le CDN Amazon CloudFront. Mais AWS a réagi en annonçant la mise en place prochaine de mesures empêchant d’exploiter CloudFront pour faire du «domain fronting». Le fournisseur cloud a également averti les équipes de Signal que s’ils ne cessaient pas immédiatement cette pratique, l’accès à CloudFront leur serait interdit.