L’inspection approfondie des paquets (DPI) est une méthode d’examen des paquets de données qui transitent par un réseau afin d’identifier le type de trafic. Ces informations peuvent ensuite être utilisées pour bloquer le trafic indésirable.

Cette technique est couramment utilisée dans les pare-feu, les systèmes de détection d’intrusion et d’autres systèmes de sécurité réseau.

Malheureusement, les mêmes techniques d’analyse utilisées pour protéger les réseaux privés peuvent également être employées par les gouvernements et d’autres organisations pour surveiller le trafic internet et censurer la dissidence en ligne.

Grâce au DPI, les organisations peuvent examiner les paquets lorsqu’ils transitent par un réseau afin d’en comprendre l’objectif. Cela leur permet de bloquer ou de restreindre l’accès à certains sites internet, applications et services.

L’utilisation d’un VPN empêche ce type d’analyse, car les paquets sont chiffrés. Cependant, le protocole VPN lui-même peut souvent être identifié par le DPI. Cela permet à des gouvernements répressifs (et parfois à d’autres organisations, comme des bureaux et des campus) de bloquer efficacement l’accès aux services VPN, même lorsque l’on tente de masquer (d’offusquer) le fait qu’un VPN est utilisé.

Dans cet article, nous examinons le fonctionnement de l’inspection approfondie des paquets, en mettant l’accent sur la manière dont les gouvernements répressifs l’utilisent pour imposer des restrictions de censure. Nous verrons également comment le DPI affecte les réseaux privés virtuels (VPN) tels que Proton VPN, qui sont conçus pour contourner ces restrictions.

Qu’est-ce qu’un paquet de données ?

Lorsque des données sont envoyées sur un réseau (comme internet), elles sont divisées en petites parties. Ces petites parties sont appelées paquets de données (ou simplement paquets).

Le protocole Internet(nouvelle fenêtre) utilise des paquets de données pour s’assurer que les informations envoyées sur le web parviennent à la bonne destination. Lorsque tous les paquets constituant un ensemble de données (comme une image ou le contenu d’un e-mail) atteignent leur destination, ils sont réassemblés.

Les données réelles contenues dans un paquet sont appelées sa « charge utile ». Chaque paquet comporte également un en-tête contenant des métadonnées qui expliquent, par exemple, sa provenance et sa destination.

Structure d'un paquet IP

Toutes les données transmises sur internet sont envoyées sous forme de paquets.

Comment fonctionne l’analyse des paquets

Une organisation effectuant toute forme d’analyse de paquets doit d’abord obtenir des paquets à analyser. Cela peut se faire de nombreuses manières, mais la mise en miroir de ports(nouvelle fenêtre), les points d’accès réseau physiques (TAP)(nouvelle fenêtre) et l’interception wifi(nouvelle fenêtre) sont des tactiques courantes. Une fois qu’une organisation a accès aux paquets, elle peut les analyser de différentes manières.

Analyse simple des paquets

Pour une organisation, le moyen le plus simple (et le plus économique) de bloquer le trafic réseau consiste à examiner les informations contenues dans les en-têtes des paquets. Cela permet à ces organisations de bloquer les paquets en fonction des ports qu’ils utilisent ou de leur adresse IP de destination.

Inspection approfondie des paquets

Le problème de l’analyse simple des paquets pour les organisations qui souhaitent censurer internet est qu’elle est facile à contourner, simplement en modifiant l’adresse IP de destination ou les numéros de port utilisés. En effet, l’analyse simple des paquets ne s’intéresse pas aux données (la charge utile). L’inspection approfondie des paquets, quant à elle, analyse l’intégralité du paquet, y compris sa charge utile.

Comment fonctionne l’inspection approfondie des paquets ?

Les techniques de DPI comprennent :

  1. Détection basée sur les signatures — Compare les paquets à une base de données de modèles de trafic malveillant ou indésirable connus
  2. Détection basée sur les anomalies — Recherche des modèles ou des comportements qui s’écartent du trafic réseau normal
  3. Analyse de protocole — Examine la structure et le format des paquets afin d’identifier le protocole utilisé
  4. Inspection du contenu — Examine les données réelles contenues dans la charge utile, telles que le texte d’un e-mail, pour identifier et bloquer des mots-clés ou des expressions spécifiques
  5. Analyse comportementale — Examine le comportement du trafic réseau au fil du temps, comme la fréquence des connexions à un serveur particulier ou la quantité de données transférées, afin d’identifier et de bloquer les schémas d’activité inhabituels

Le DPI et la censure gouvernementale

Les gouvernements répressifs du monde entier cherchent à limiter l’accès de leurs citoyens à des informations indépendantes, leur capacité à interagir avec la communauté internationale et leur possibilité d’exprimer des points de vue critiques à l’égard du régime.

C’est en partie pour cela que les coupures d’internet sont de plus en plus courantes(nouvelle fenêtre). Or, ces pannes sont extrêmement coûteuses pour tout pays qui dépend régulièrement d’internet (c’est-à-dire pratiquement tous, à l’exception de la Corée du Nord). En 2022, les coupures d’internet ont coûté environ 24 milliards de dollars à l’économie mondiale(nouvelle fenêtre).

Dans des pays comme la Russie, la Chine, l’Iran et l’Égypte, la solution à ce dilemme consiste à rendre internet disponible, tout en bloquant les sites internet et les applications auxquels ils ne veulent pas que leurs citoyens accèdent. À un niveau élémentaire, c’est assez simple à réaliser. Il suffit aux gouvernements d’ordonner à leurs fournisseurs d’accès internet (FAI) locaux de bloquer les connexions à certaines adresses IP.

Le problème de cette approche est que les technologies telles que les réseaux privés virtuels (VPN) permettent aux citoyens les plus technophiles de contourner facilement ces blocages. Les gouvernements déploient donc le DPI pour détecter (et bloquer) l’utilisation des VPN.


En savoir plus sur la censure d’internet

Comment fonctionnent les VPN

Un VPN crée une connexion chiffrée entre votre appareil et un serveur VPN géré par un service VPN comme Proton VPN. L’application VPN achemine ensuite toutes les connexions de votre appareil à travers ce « tunnel VPN ». Cela inclut les requêtes DNS, que votre fournisseur de VPN résout à la place de votre FAI (comme c’est généralement le cas).

Comme les données envoyées à travers le tunnel VPN sont chiffrées de manière sécurisée, votre FAI (et, par extension, votre gouvernement) ne peut pas voir le contenu de vos données ni les sites internet que vous visitez. Tout ce qu’il peut voir, c’est l’adresse IP du serveur VPN auquel vous vous êtes connecté.

Comment fonctionne un VPN

En savoir plus sur le fonctionnement d’un VPN

Ce qu’un FAI ne peut pas voir, il ne peut pas le bloquer, c’est pourquoi les VPN sont des outils de lutte contre la censure particulièrement efficaces. Les gouvernements répressifs le savent évidemment, et leur réponse habituelle consiste donc à essayer de bloquer l’accès aux VPN.

Blocages simples de VPN

Le moyen le plus simple de s’y prendre consiste à bloquer l’accès aux sites internet des services VPN. De tels blocages sont généralement faciles à contourner, par exemple en distribuant le fichier APK Android de Proton VPN via une messagerie chiffrée ou des canaux de réseaux sociaux.

Il est également possible d’effectuer une analyse simple des paquets sur les en-têtes de paquets en utilisant les méthodes suivantes :

Analyse de l’adresse IP de destination

Les autorités peuvent examiner l’adresse IP de destination des paquets et la comparer à une liste d’adresses IP de serveurs VPN connus. Fort de cette liste, il est facile pour un FAI de bloquer l’accès à tous les serveurs d’un service VPN.

Compte tenu des ressources dont disposent la plupart des gouvernements, il ne leur est pas difficile de dresser ces listes eux-mêmes. But ils n’en ont pas vraiment besoin, car de nombreux services commerciaux tirent un bon profit de la compilation et de la vente de ces listes.

Analyse de ports

Le DPI peut examiner le numéro de port de destination des paquets et les faire correspondre à une liste de numéros de port VPN connus

Par exemple, par défaut, OpenVPN utilise le port UDP 1194, tandis que WireGuard® utilise le port UDP 51820.

Analyse des certificats SSL/TLS

En examinant les certificats SSL/TLS(nouvelle fenêtre) des paquets, les autorités peuvent les faire correspondre à une liste de certificats SSL/TLS de VPN connus et détecter si des personnes utilisent un VPN.

Obtenez Proton VPN !

Tactiques simples anti-censure des VPN

L’analyse simple de paquets est une tactique de censure courante, car elle est simple et peu coûteuse. Il est également assez facile pour un service de VPN de la contourner en utilisant les méthodes suivantes :

VPN sur TCP

HTTPS(nouvelle fenêtre) est la norme de chiffrement qui sécurise le web, rendant possible une grande partie de ce que nous considérons comme acquis sur internet. Cela inclut la sécurisation de toutes les transactions financières en ligne, telles que les achats en ligne et la gestion de votre compte bancaire en ligne.

HTTPS utilise le port TCP 443. Les services de VPN exécutent donc souvent leurs protocoles VPN sur le port TCP 443. Il est ainsi difficile de bloquer simplement ce port sans pour autant paralyser l’ensemble d’internet.

OpenVPN dispose d’un support intégré pour le TCP, ce qui en fait un choix populaire parmi les services de VPN utilisant cette tactique. WireGuard fonctionne généralement sur UDP, mais Proton VPN a également développé un moyen d’exécuter WireGuard sur TCP.

En savoir plus sur la différence entre UDP et TCP

Le VPN sur TCP peut contourner efficacement l’analyse simple de protocoles, mais les techniques de DPI plus avancées peuvent facilement repérer la différence entre les paquets HTTPS et VPN.

Changement de numéros de port

Bien que les protocoles VPN utilisent par défaut des ports attendus, la plupart peuvent être exécutés sur presque n’importe quel port (à l’exception des ports réservés à des fonctions spécifiques). Ainsi, une technique anti-censure simple (mais souvent efficace) consiste à exécuter les protocoles VPN sur des ports non standard.

La fonctionnalité Smart Protocol de Proton VPN détecte lorsqu’une connexion est bloquée et bascule automatiquement entre les protocoles VPN et les numéros de port pour trouver des combinaisons qui ne sont pas bloquées.

Routage alternatif

Le routage alternatif(nouvelle fenêtre) est une tactique anti-censure inhabituelle utilisée par Proton VPN. Si l’accès à un service Proton est bloqué (y compris au site internet de Proton VPN), nous essayons de router la connexion à travers des réseaux de serveurs tiers qui ont peu de chances d’être bloqués (comme AWS).

Ponts VPN

L’analyse de l’adresse IP de destination est un vecteur d’attaque difficile à surmonter, mais certains services de VPN atténuent le problème avec des ponts VPN. Ceux-ci leur permettent de contourner la censure en fournissant des points d’entrée alternatifs au réseau VPN qui ne sont pas répertoriés publiquement ou bloqués par les censeurs.

Les services de VPN peuvent y parvenir en utilisant une technique appelée « relais de pont » ou « mode pont ». C’est lorsqu’un fournisseur de VPN gère quelques « relais de pont » qu’il ne répertorie pas publiquement et qu’il ne fournit qu’aux personnes qui ont besoin de déjouer la censure. Ces relais de pont agissent comme un point d’entrée secret vers le réseau VPN et peuvent être utilisés pour contourner les blocages sur le trafic VPN.

Une autre façon pour les VPN d’utiliser des ponts consiste à permettre aux utilisateurs de se connecter au réseau VPN par le biais d’un « pont VPN », c’est-à-dire lorsqu’une connexion VPN est établie entre votre appareil et un serveur VPN que les censeurs n’ont pas bloqué. Vous pouvez ensuite utiliser ce pont VPN pour vous connecter au réseau VPN principal et accéder aux contenus bloqués.

Comment le DPI est utilisé pour détecter les VPN

Les censeurs en ligne et les utilisateurs d’internet se sont lancés dans une course aux armements depuis les premiers jours du web. Les FAI ont commencé à bloquer des ports, de sorte que les gens ont commencé à utiliser des ports non standard. Les gouvernements répressifs ont réagi en utilisant le DPI pour déterminer ce que le trafic faisait sur les ports ouverts, ce qui a encouragé les gens à utiliser des VPN pour déjouer le DPI. En réponse, les gouvernements ont développé des techniques de DPI plus sophistiquées, et ainsi de suite.

Le DPI est difficile à contourner, car il examine l’intégralité du paquet pour identifier le trafic VPN de diverses manières. Celles-ci comprennent :

Analyse de protocoles

Celle-ci examine la structure et le format des paquets afin d’identifier le protocole utilisé et de détecter si les paquets utilisent un protocole VPN comme OpenVPN, PPTP, L2TP ou IKEv2.

Analyse de la taille des paquets

Des tailles de paquets inhabituelles peuvent indiquer l’utilisation d’un VPN.

Analyse comportementale

Le DPI peut examiner le comportement du trafic réseau au fil du temps pour identifier des modèles qui peuvent indiquer l’utilisation d’un VPN. Par exemple, s’il y a un pic inhabituel de trafic vers un serveur spécifique ou un changement soudain de l’emplacement des adresses IP, cela pourrait indiquer qu’un VPN est utilisé.

Obfuscation du VPN

Comme étape suivante dans la course aux armements pour un internet sans censure, certains services de VPN ont développé des protocoles VPN personnalisés résistants aux techniques de DPI. Par exemple, nous avons développé le protocole Stealth pour Proton VPN.

Ce nouveau protocole combine diverses technologies open source, notamment en utilisant un tunnel TLS obfusqué sur TCP pour ressembler à du HTTPS d’une manière plus résistante à la censure que la simple exécution d’un VPN sur le port TCP 443.

En savoir plus sur Stealth

Stealth a aidé des millions de personnes à surmonter les blocages de VPN dans des pays comme l’Iran et la Russie, mais nous ne pouvons pas garantir son efficacité contre les techniques de DPI avancées.

Pour conclure

L’inspection profonde des paquets peut être sophistiquée et représente un défi permanent pour notre mission qui consiste à mettre un internet ouvert à la disposition de tous. Mais nous avons fondé Proton VPN pour relever des défis exactement comme celui-ci, et nos ingénieurs développent constamment de nouveaux outils et fonctionnalités anti-censure.

Nous sommes engagés dans une course aux armements avec certains des gouvernements les plus répressifs de la planète, et les enjeux ne pourraient pas être plus importants. Les gouvernements répressifs s’appuient sur un contrôle étroit des informations auxquelles leurs citoyens peuvent accéder, des personnes avec lesquelles ils peuvent parler et de ce qu’ils peuvent dire à leurs concitoyens et au reste du monde.

Mais nous pensons que tout le monde a le droit d’accéder à des informations indépendantes, de s’associer avec qui bon lui semble et de critiquer les injustices et les abus de pouvoir. Nous nous battons pour que chacun ait accès à ces droits humains fondamentaux.

Proton VPN a été fondé pour aider à lutter pour un monde sans censure, c’est pourquoi nous proposons un service de VPN 100 % gratuit. Avec Proton VPN, n’importe qui peut accéder à un internet libre et ouvert. Nous sommes fiers que des militants, des journalistes et des citoyens ordinaires du monde entier se tournent vers Proton VPN en période de crise.

Si vous vivez dans un pays répressif, notre service est là pour vous aider. Si ce n’est pas le cas, vous pouvez soutenir notre mission consistant à rendre internet accessible à tous sans censure en vous inscrivant à un abonnement Proton VPN Plus.