Signal privé de son moyen de contourner la censure étatique

Google puis AWS ont changé les conditions d’utilisation de leurs services, interdisant notamment le domain fronting, une pratique consistant à cacher le vrai endpoint d’une connexion. Problème : Signal utilisait cette méthode pour contourner le blocage appliqué à son service dans certains pays.

« Les censeurs n’auront rien eu à faire sinon attendre ». C’est l’amer constat de Moxie Marlinspike, fondateur de Open Whisper et co-auteur du protocole Signal après qu’AWS ait menacé de supprimer l’application Signal de son service CloudFront. En cause, le recours par Signal au « domain fronting ». Cette méthode permet aux développeurs de déguiser le trafic web de telle sorte « qu’il soit possible de créer ce qui ressemble à une connexion TLS pour le domaine A avec une requête qui serait réellement reçue et traitée par le domaine B ».

Cette technique permet à Signal d’échapper à la censure dans certains pays, en l’occurrence en Egypte, à Oman, au Qatar et aux Emirats Arabes Unis. Pendant un an et demi, explique Moxie Marlinspike, Signal a utilisé le domain fronting par le biais de Google App Engine. « Cela signifiait que pour bloquer Signal, ces pays devraient également bloquer google.com. Ce n'était pas une mesure que ces pays étaient disposés à prendre, et Signal est donc utilisable depuis un an et demi dans ces pays, même si l'accès direct reste bloqué ».

Changement de politique

Sauf qu’en début d’année, Google a décidé d’empêcher entièrement le fonctionnement du domain fronting sur sa plateforme, forçant Signal à déménager vers AWS Cloudfront et a utilisé un domaine très populaire dans la région concernée, celui de la plateforme e-commerce Souq.com. Souq.com, racheté l’an dernier par Amazon… qui n’a pas vraiment apprécié l’utilisation du domaine par Signal.

Et outre la menace liée à l’utilisation de souq.com, Amazon a également modifié CloudFront afin d’empêcher le domain fronting, pratique également utilisée pour la diffusion de malwares. De son côté, Signal assure ne pas violer les conditions d’utilisation de Cloudfront puisqu’il « n’utilise aucun autre certificat SSL que le sien et ne falsifie pas l’origine du trafic lorsque nos clients se connectent sur CloudFront ». Mais in fine, l’application se trouve donc privée de son moyen de contourner le blocage de son nom de domaine dans ces pays et recrute celui ou celle qui trouvera une nouvelle méthode.