Comment le gouvernement chinois pourrait-il bloquer uniquement des types spécifiques de trafic WhatsApp?

Étant donné que le trafic Whatsapp dispose d'un cryptage de bout en bout, ...

Le chiffrement de bout en bout n'implique pas l'anonymat ni que le protocole sous-jacent est méconnaissable pour un espion et ne révèle aucune méta-information.

En fait, obscurcir les protocoles pour les cacher des pare-feu est notoirement difficile et en trouver suffisamment pour bloquer le trafic peut être assez facile. Dans le cas de WhatsApp, il n'est pas non plus pertinent d'utiliser E2EE, car WhatsApp ajoute de toute façon une couche de cryptage supplémentaire entre le client et les serveurs WhatsApp (auparavant via TLS, maintenant Noise Pipes ). Ainsi, le fait que les utilisateurs obtiennent en plus E2EE via protocole de signal a un impact limité sur l'analyse du trafic.

Il existe des moyens évidents de bloquer le trafic WhatsApp sans avoir à se soucier du chiffrement:

• Bloquez les serveurs. WhatsApp publie le pool IP de leurs serveurs de messagerie. (Les adresses IP étaient auparavant répertoriées ici et ont depuis été déplacées vers Facebook Mobile Partner Portal .) Mais même sans une liste d'IP prête à l'emploi, il serait assez facile pour effectuer une rétro-ingénierie d'une liste de serveurs en utilisant simplement l'application et en observant le trafic. (C'est une technique tout à fait courante - de même, le réseau Tor a souffert ces dernières années du fait que la Chine a bloqué la majorité de ses relais publics.)

• Bloquez le protocole. Le gouvernement pourrait utiliser l'heuristique pour reconnaître et bloquer le protocole de transport. Le blocage basé sur les modèles de trafic a fonctionné dans le passé pour BitTorrent, Tor et d'autres, mais pourrait entraîner des frais généraux notables. (Je ne peux pas dire si cette approche est pratique.)

Une façon de bloquer les fichiers multimédias en particulier serait d'identifier les gros téléchargements. Il peut également être utile que WhatsApp n'envoie pas d'images de la même manière qu'un texte ordinaire. Au lieu de cela, les clients chiffrent et téléchargent les pièces jointes séparément, puis envoient simplement un message contenant la clé du téléchargement.

Étant donné que le reportage indique qu'aucun fichier ne peut être envoyé du tout, il est plausible que le gouvernement ait bloqué temporairement les serveurs de téléchargement de pièces jointes (ce qui ne laisserait aucun message clair).

Le processus d'envoi des pièces jointes est détaillé dans le Livre blanc sur la sécurité WhatsApp :

Transmission des supports et autres pièces jointes

Les pièces jointes volumineuses de tout type (vidéo, audio, images ou fichiers) sont également cryptées de bout en bout:

1. L'utilisateur WhatsApp qui envoie un message ("expéditeur") génère une clé AES256 éphémère de 32 octets et une clé HMAC-SHA256 de 32 octets éphémère.
2. L'expéditeur crypte la pièce jointe avec la clé AES256 en mode CBC avec un IV aléatoire, puis ajoute un MAC du texte chiffré à l'aide de HMAC-SHA256.
3. L'expéditeur télécharge la pièce jointe chiffrée dans un magasin d'objets blob.
4. L'expéditeur transmet un message crypté normal au destinataire qui contient la clé de cryptage, la clé HMAC, un hachage SHA256 du blob crypté et un pointeur sur le blob dans le magasin de blob.
5. Le destinataire déchiffre le message, récupère le blob chiffré dans le magasin de blob, vérifie le hachage SHA256 de celui-ci, vérifie le MAC et déchiffre le texte en clair.