le GFC ne peut il pas, ou ne veut il pas?

phitheb

Dieu créateur
08 Déc 2013
3 614
3 393
153
54
Comme beaucoup d'entre vous j'ai utilisé un Vais-Paix-Haine pendant mon séjour en Chine et je me suis toujours posé une question à laquelle mon inculture informatique n'a pas trouvé de réponse. Peut-être le sujet a déjà été abordé ailleurs sur BJC, mais je n'ai pas trouvé où, donc j'y vais:

Ma question est de savoir si le fait que nous puissions utiliser des V-P-N en Chine est une mansuétude que le PCC nous accorde (par ex., pour ne pas faire fuir tous les expats), mais qu'il peut à tout instant décider d'en bloquer l'utilisation, ou bien si il lui est techniquement impossible de les bloquer (du moins, les plus élaborés d'entre eux comme Astrill) et qu'il ne peut rien y faire.

pour faire simple: pouvons nous utiliser les V-P-N parce-que le GFC ne veut pas les bloquer ou parce-qu'il ne peut pas les bloquer?
 
Comme beaucoup d'entre vous j'ai utilisé un Vais-Paix-Haine pendant mon séjour en Chine et je me suis toujours posé une question à laquelle mon inculture informatique n'a pas trouvé de réponse. Peut-être le sujet a déjà été abordé ailleurs sur BJC, mais je n'ai pas trouvé où, donc j'y vais:

Ma question est de savoir si le fait que nous puissions utiliser des V-P-N en Chine est une mansuétude que le PCC nous accorde (par ex., pour ne pas faire fuir tous les expats), mais qu'il peut à tout instant décider d'en bloquer l'utilisation, ou bien si il lui est techniquement impossible de les bloquer (du moins, les plus élaborés d'entre eux comme Astrill) et qu'il ne peut rien y faire.

pour faire simple: pouvons nous utiliser les V-P-N parce-que le GFC ne veut pas les bloquer ou parce-qu'il ne peut pas les bloquer?
Bonsoir,

Un V-P-N peut servir aussi pour des accès à distance, sur des réseaux d'entreprise par exemple.
Si ils bloquent, beaucoup de gens ne peuvent plus travailler.
C'est une raison économique je pense.

Rémi
 
Bonsoir,

Un V-P-N peut servir aussi pour des accès à distance, sur des réseaux d'entreprise par exemple.
Si ils bloquent, beaucoup de gens ne peuvent plus travailler.
C'est une raison économique je pense.

Rémi
Donc ils pourraient le bloquer mais ils ne le font pas
?
 
Il peuvent les bloquer puisque pleins de VPN sont bloqués en Chine, gratuits ou payants d'ailleurs. Je pense pas que Astrill ait une technologie spécifique qui contourne le Mur sans être vu (je dis ça mais j'en sais rien). Mais comme dit plus haut, économiquement c'est une obligation un VPN. La question serait plutôt pourquoi Astrill et pas les autres?
 
Je ne suis pas un pro, mais pour ce que j'ai compris ça dépend du protocole utilisé:
  • Openvpn, un des protocoles standards pour VPN est bloqué! (débit qui tombe à zéro rapidement). Ça se fait bloquer car l'échange de clé n'est pas crypté et il est possible de détecter que c'est un protocole de VPN
  • StealthVPN chez astrill (mais qui a d'autre noms ailleurs), consiste à encrypter l'échange de clés, du coup les données sont cryptées et il n'est pas possible de savoir qu'il s'agit d'un VPN. La solution pour le bloquer serait bloquer toutes les connexions encryptées... par vraiment réalisable. Il y a toujours moyen de détecter le port sur lequel la connexion est effectuée, mais un port ça se change...
  • Openweb dissimuel le trafic comme des pages web, ce n'est pas encrypté. À moins de bloquer les chargements de pages web, il n'y a pas grand chose à faire. Il devrait être possible d'analyser le contenu de la connexion, perdre des paquets pour perdre l'information, mais ça reste difficile à bloquer. Je dois avouer que je ne connais pas bien les détails.
Difficile de faire un réel blocage. Il y a moyen de rendre les VPN inutilisables en rendant les connexions vers les sites étrangers très mauvaises, mais du coup la qualité générale de l'internet chinois deviendrait assez mauvaise...

Après, si quelqu'un a plus de compétences en réseau, je suis preneur pour d'autres infos.
 
Je ne suis pas un pro, mais pour ce que j'ai compris ça dépend du protocole utilisé:
  • Openvpn, un des protocoles standards pour V-P-N est bloqué! (débit qui tombe à zéro rapidement). Ça se fait bloquer car l'échange de clé n'est pas crypté et il est possible de détecter que c'est un protocole de V-P-N
  • StealthVPN chez astrill (mais qui a d'autre noms ailleurs), consiste à encrypter l'échange de clés, du coup les données sont cryptées et il n'est pas possible de savoir qu'il s'agit d'un V-P-N. La solution pour le bloquer serait bloquer toutes les connexions encryptées... par vraiment réalisable. Il y a toujours moyen de détecter le port sur lequel la connexion est effectuée, mais un port ça se change...
  • Openweb dissimuel le trafic comme des pages web, ce n'est pas encrypté. À moins de bloquer les chargements de pages web, il n'y a pas grand chose à faire. Il devrait être possible d'analyser le contenu de la connexion, perdre des paquets pour perdre l'information, mais ça reste difficile à bloquer. Je dois avouer que je ne connais pas bien les détails.

Dans ce cas la, comment le GFW arrive a bloquer les connexions en mode Openweb? car bcp de serveurs ne sont pas accessibles et lorsque l'on utilise un serveur pendant longtemps, il est détectable donc bloqué (en tout cas chez moi).
 
Je ne suis pas un pro, mais pour ce que j'ai compris ça dépend du protocole utilisé:
  • Openvpn, un des protocoles standards pour V-P-N est bloqué! (débit qui tombe à zéro rapidement). Ça se fait bloquer car l'échange de clé n'est pas crypté et il est possible de détecter que c'est un protocole de V-P-N
  • StealthVPN chez astrill (mais qui a d'autre noms ailleurs), consiste à encrypter l'échange de clés, du coup les données sont cryptées et il n'est pas possible de savoir qu'il s'agit d'un V-P-N. La solution pour le bloquer serait bloquer toutes les connexions encryptées... par vraiment réalisable. Il y a toujours moyen de détecter le port sur lequel la connexion est effectuée, mais un port ça se change...
  • Openweb dissimuel le trafic comme des pages web, ce n'est pas encrypté. À moins de bloquer les chargements de pages web, il n'y a pas grand chose à faire. Il devrait être possible d'analyser le contenu de la connexion, perdre des paquets pour perdre l'information, mais ça reste difficile à bloquer. Je dois avouer que je ne connais pas bien les détails.
Difficile de faire un réel blocage. Il y a moyen de rendre les V-P-N inutilisables en rendant les connexions vers les sites étrangers très mauvaises, mais du coup la qualité générale de l'internet chinois deviendrait assez mauvaise...

Après, si quelqu'un a plus de compétences en réseau, je suis preneur pour d'autres infos.
Donc si je te suis, on ne peut pas bloquer tous les protocoles V-P-N sans en même temps globalement fermer le robinet de l'internet vers l'étranger, c'est ça?
 
Donc si je te suis, on ne peut pas bloquer tous les protocoles V-P-N sans en même temps globalement fermer le robinet de l'internet vers l'étranger, c'est ça?
Oui, pour ce que j'en ai compris.

Dans ce cas la, comment le GFW arrive a bloquer les connexions en mode Openweb? car bcp de serveurs ne sont pas accessibles et lorsque l'on utilise un serveur pendant longtemps, il est détectable donc bloqué (en tout cas chez moi).
Je dois avouer que je ne connais pas bien les détails du mode openweb...
 
Je ne suis pas un pro, mais pour ce que j'ai compris ça dépend du protocole utilisé:
  • Openvpn, un des protocoles standards pour V-P-N est bloqué! (débit qui tombe à zéro rapidement). Ça se fait bloquer car l'échange de clé n'est pas crypté et il est possible de détecter que c'est un protocole de V-P-N
  • StealthVPN chez astrill (mais qui a d'autre noms ailleurs), consiste à encrypter l'échange de clés, du coup les données sont cryptées et il n'est pas possible de savoir qu'il s'agit d'un V-P-N. La solution pour le bloquer serait bloquer toutes les connexions encryptées... par vraiment réalisable. Il y a toujours moyen de détecter le port sur lequel la connexion est effectuée, mais un port ça se change...
  • Openweb dissimuel le trafic comme des pages web, ce n'est pas encrypté. À moins de bloquer les chargements de pages web, il n'y a pas grand chose à faire. Il devrait être possible d'analyser le contenu de la connexion, perdre des paquets pour perdre l'information, mais ça reste difficile à bloquer. Je dois avouer que je ne connais pas bien les détails.
Difficile de faire un réel blocage. Il y a moyen de rendre les V-P-N inutilisables en rendant les connexions vers les sites étrangers très mauvaises, mais du coup la qualité générale de l'internet chinois deviendrait assez mauvaise...

Après, si quelqu'un a plus de compétences en réseau, je suis preneur pour d'autres infos.

Je suis loin d’être un spécialiste en la matière.
Mais il me semble que tout le trafic VPN passe par les serveurs des fournisseurs de VPN.
Il me parait aussi très facile de connaitre les adresses IP de ces serveurs.
Il devrait donc être possible de bloquer TOUT le trafic à destination de ces adresses IP, quel que soit le mode Openvpn, Stealth, Openweb ou autres.

Est-ce que je me trompe?
 
Je suis loin d’être un spécialiste en la matière.
Mais il me semble que tout le trafic V-P-N passe par les serveurs des fournisseurs de V-P-N.
Il me parait aussi très facile de connaitre les adresses IP de ces serveurs.
Il devrait donc être possible de bloquer TOUT le trafic à destination de ces adresses IP, quel que soit le mode Openvpn, Stealth, Openweb ou autres.

Est-ce que je me trompe?
C'est juste, mais une adresse IP, ça se change. Effectivement, la nouvelle adresse IP peut être bloquée à nouveau. C'est le jeu du chat et de la souris. Ça rendrait les choses plus compliquées, mais ce n'est pas une solution pour un blocage "définitif" des VPNs.
 
C'est juste, mais une adresse IP, ça se change. Effectivement, la nouvelle adresse IP peut être bloquée à nouveau. C'est le jeu du chat et de la souris. Ça rendrait les choses plus compliquées, mais ce n'est pas une solution pour un blocage "définitif" des VPNs.
Mais s'il y a changement d'adresse IP des serveurs, ne faut-il pas qu'il y ait une mise à jour des logiciels (ou des paramètres) de tous les utilisateurs pour qu'ils puissent continuer à utiliser leur VPN. La nouvelle adresse doit donc être diffusée, et son blocage pourra être quasi immédiat. Non?
 
Mais s'il y a changement d'adresse IP des serveurs, ne faut-il pas qu'il y ait une mise à jour des logiciels (ou des paramètres) de tous les utilisateurs pour qu'ils puissent continuer à utiliser leur V-P-N. La nouvelle adresse doit donc être diffusée, et son blocage pourra être quasi immédiat. Non?
Oui, probablement. Mais il faut que tu puisses bloquer toutes les IPs de tous les VPNs existant... Et je pense que ce genre de situation doit sans doute être déjà prise en compte dans le logiciel d'astrill. Il est peu probable que tous les serveur soient bloqués tous en même temps. Il doit être aisé de demander à un serveur non bloqué la liste des IPs des différentes serveurs...

Après je ne sais pas comment il font dans leur logiciel.

Mais pour le gouvernement ça doit pas être vraiment rentable de rentrer dans ce jeu du chat et de la souris (qui peut durer bien longtemps...)
 
Oui, probablement. Mais il faut que tu puisses bloquer toutes les IPs de tous les VPNs existant... Et je pense que ce genre de situation doit sans doute être déjà prise en compte dans le logiciel d'astrill. Il est peu probable que tous les serveur soient bloqués tous en même temps. Il doit être aisé de demander à un serveur non bloqué la liste des IPs des différentes serveurs...

Après je ne sais pas comment il font dans leur logiciel.

Mais pour le gouvernement ça doit pas être vraiment rentable de rentrer dans ce jeu du chat et de la souris (qui peut durer bien longtemps...)
...cela dépend de la main d'oeuvre dont disposent les services de censure...main d'oeuvre qui est, si j'ai bien compris, plutôt abondante
(http://www.bbc.com/news/world-asia-china-24396957 : "More than two million people in China are employed by the government to monitor web activity, state media say, providing a rare glimpse into how the state tries to control the internet...")

D'ailleurs, il me semble que, lors d'évènements "à risque" (tank man day, etc...) les V-P-N ont déjà été bloqués dans le passé, non?
 
Dernière édition:
Oui, probablement. Mais il faut que tu puisses bloquer toutes les IPs de tous les VPNs existant... Et je pense que ce genre de situation doit sans doute être déjà prise en compte dans le logiciel d'astrill. Il est peu probable que tous les serveur soient bloqués tous en même temps. Il doit être aisé de demander à un serveur non bloqué la liste des IPs des différentes serveurs...

Après je ne sais pas comment il font dans leur logiciel.

Mais pour le gouvernement ça doit pas être vraiment rentable de rentrer dans ce jeu du chat et de la souris (qui peut durer bien longtemps...)
En supposant qu'une vingtaine de fournisseurs de VPN disposent chacun d'une centaine de serveurs, cela ferait une blacklist de 2000 adresses IP à tenir à jour. Pas besoin d'une armée pour ça. Je pense qu'une personne seule peut le faire (4 personnes pour faire du 3x8 , 7j/7)

Ça me parait très simple (mais encore une fois, je me trompe peut-être ; je ne suis spas un spécialiste)