Qu’est-ce que l’obscurcissement XOR? Un guide pour tout sur le brouillage OpenVPN

OpenVPN Scramble est un moyen de masquer (masquer) le trafic OpenVPN pour qu'il ne ressemble pas au trafic OpenVPN. Il est très efficace contre de nombreuses techniques d'inspection approfondie des paquets (DPI) et permet de contourner même les blocs VPN sophistiqués.

OpenVPN Scramble utilise l'algorithme de chiffrement XOR. Il est très facile à appliquer et également très léger. De nombreux services VPN se tournent vers OpenVPN Scramble afin de vaincre les blocs VPN avancés du type utilisé par la Chine et l'Égypte.

Le chiffrement XOR

XOR est généralement prononcé Ex-or et signifie Exclusive or, un type d'opération mathématique utilisé par le chiffrement XOR. L'algorithme XOR est essentiellement un chiffrement de substitution simple. En d'autres termes, il remplace simplement chaque alphanumérique dans une chaîne qui y est introduite par un autre nombre.

Surtout, l'algorithme est réversible. Donc, si vous réintroduisez la chaîne de sortie dans le même algorithme, vous vous retrouvez avec la chaîne d'origine avec le chiffre supprimé.

Ce type de chiffrement est également appelé chiffrement additif, et c'est le type de chiffrement le plus simple qui soit. C'est le genre de chiffre ROT13 que les enfants intelligents utilisent souvent pour créer des messages secrets. Sauf qu'il utilise un algorithme beaucoup plus sophistiqué que la plupart des enfants ne peuvent imaginer.

Qu'est-ce que le chiffrement XOR

OpenVPN Scramble

Si cela ne semble pas très sûr, ce n'est pas le cas. En effet, un simple chiffrement XOR peut être facilement cassé à l'aide de techniques simples d'analyse de fréquence (recherche de motifs dans la chaîne de sortie).

OpenVPN Scramble n'utilise pas le chiffrement XOR pour sécuriser vos données. OpenVPN fait ça.

OpenVPN donne cependant aux données cryptées une signature distinctive qui peut être détectée à l'aide de DPI. En remplaçant la valeur de chaque bit de données protégées par OpenVPN par une autre valeur, XOR brouille les données d'une manière qui rend cette signature très difficile à détecter.

Et pour les services VPN, l'or XOR ne s'arrête pas là. Le correctif open source openvpn_xor scramble leur permet d'implémenter XOR Scramble et de l'offrir à leurs clients de manière presque triviale..

Quelle est l'efficacité d'OpenVPN Scramble?

Le brouillage des données cryptées OpenVPN avec le chiffrement XOR rend plus difficile la détection de systèmes tels que le grand pare-feu de Chine.

L'obscurcissement XOR a atteint un certain niveau de notoriété. Sa petite taille et sa facilité de mise en œuvre en font un choix populaire pour les développeurs de logiciels malveillants souhaitant cacher leurs méchants morceaux de code à la détection anti-malware.

De nombreux développeurs de logiciels malveillants sont heureux d'utiliser simplement une valeur d'un octet pour agir comme clé. Le code obscurci par cette clé parcourt ensuite chaque octet des données qui doivent être codées, en XOR chaque octet avec la clé sélectionnée.

Les données obscurcies avec une clé de valeur à 1 octet sont relativement faciles à repérer car elles créent des modèles répétitifs dans le code qui semble autrement aléatoire. Un certain nombre de programmes ont été développés à cette fin.

Il est toutefois possible de sélectionner des clés plus longues, jusqu'à la valeur en octets des données à masquer. L'efficacité de la fonction XOR lors du brouillage des données dépend entièrement de l'aléatoire de la clé utilisée.

Donc qu'est-ce que tout cela veut dire? Eh bien, l'utilisation généralisée de l'obscurcissement XOR pour les logiciels malveillants témoigne de son efficacité.

NordVPN est une société VPN qui offre le cryptage XOR, nous avons donc demandé à son expert en confidentialité numérique, Daniel Markuson, de commenter son efficacité à vaincre les blocs VPN. Il suggère d'exécuter l'expérience suivante en utilisant l'analyseur de paquets Wireshark:

1. Activez le VPN standard. Wireshark voit le trafic comme OpenVPN.

Open VPN scramble XOR

2. Activez le VPN obscurci sur TCP (l'option XOR de NordVPN). Wireshark n'identifie plus le trafic comme OpenVPN.

VPN obscurci sur TCP

«XOR fonctionne définitivement. Est-il toujours efficace contre les efforts du gouvernement pour bloquer le trafic OpenVPN? Non pas du tout. Mais comme le montre l'expérience ci-dessus, il est plus compliqué d'identifier le trafic VPN si XOR est utilisé. Il est donc plus difficile à bloquer. »

Controverse

Malgré ses avantages, openvpn_xorpatch est quelque peu controversé. En effet, les développeurs d'OpenVPN ont refusé de l'implémenter dans toute version officielle d'OpenVPN, et déconseillent son utilisation.

«Nous (développeurs OpenVPN) n'encourageons pas les gens à créer leurs propres versions d'OpenVPN en changeant le protocole filaire comme celui-ci, sans que le correctif soit soumis à un examen correctif des correctifs et ayant évalué les risques de sécurité possibles liés à un tel changement..

Et nous déconseillons particulièrement d'utiliser une telle approche lorsqu'il existe une solution bien meilleure, utilisée par la communauté TOR. Il s'appelle obfsproxy et peut être utilisé avec OpenVPN sans avoir besoin de recompiler OpenVPN. »

Malgré ces avertissements, cependant, les développeurs du client VPN macOS open source, Tunnelblick, ont choisi d'inclure une version modifiée du correctif XOR dans leur logiciel:

«Quelle que soit la décision des développeurs d'OpenVPN de ne pas inclure le correctif dans OpenVPN, le correctif est attrayant car il est si facile à mettre en œuvre: appliquez simplement le correctif au serveur OpenVPN et au client OpenVPN et ajoutez une option unique et identique à la fichiers de configuration pour chacun. L'utilisation de obfsproxy est plus compliquée car elle implique l'exécution d'un autre programme distinct sur le serveur et le client.

Parce que le patch est si facile à implémenter, le patch est inclus dans toutes les versions d'OpenVPN qui sont incluses dans Tunnelblick à partir de la version 4420. »

Il convient de noter que les développeurs de Tunnelblick ont ​​trouvé que le correctif XOR d'origine avait des défauts critiques, et ont donc publié une version mise à jour du correctif qui corrigeait tous les problèmes trouvés:

«Les grandes organisations ont la capacité et le pouvoir de« décrypter »le trafic et de le détecter en tant que trafic OpenVPN, et l'obscurcissement fourni par ce correctif est si rudimentaire qu'une cryptanalyse relativement simple sera probablement en mesure de décrypter le contenu également.»

Nous espérons certainement que les fournisseurs de VPN qui proposent OpenVPN Scramble utiliseront ce correctif XOR amélioré ou auront apporté des modifications similaires à l'original.

Alternatives à OpenVPN Scramble

Obfsproxy

Les développeurs d'OpenVPN ont clairement à leur tactique d'obfuscation préférée est obsfproxy, un outil conçu pour envelopper les données dans une couche d'obfuscation.

Obfsproxy a été développé par le réseau Tor, en grande partie en réponse au blocage par la Chine de l'accès aux nœuds Tor publics. Cependant, il est indépendant de Tor et peut être configuré pour OpenVPN.

Obfsproxy est utilisé pour exécuter des transports enfichables qui brouillent le trafic VPN (ou Tor). Il prend en charge un certain nombre de ces transports enfichables, mais obfs4 est le dernier protocole d'obscurcissement à la pointe de la technologie de Tor Project.

Stunnel

Ceci est une autre bonne tactique d'obfuscation VPN. Il fonctionne en acheminant le trafic VPN via un tunnel TLS / SSL. TLS / SSL est le cryptage utilisé par HTTPS, donc les connexions VPN (généralement OpenVPN) acheminées via ces tunnels TLS / SSL sont donc très difficiles à distinguer du trafic HTTPS normal. Consultez notre guide HTTPS pour plus d'informations.

En effet, les données OpenVPN sont enveloppées dans une couche supplémentaire de chiffrement TLS / SSL. Comme les techniques DPI ne peuvent pas pénétrer cette couche de chiffrement «externe», elles ne peuvent pas détecter le chiffrement OpenVPN caché à l'intérieur du tunnel.

Conclusion

OpenVPN Scramble est facile à déployer pour les services VPN et peut être très efficace pour échapper aux blocs VPN, mais il n'est pas aussi robuste pour masquer le trafic VPN que obfsproxy ou stunnel.

Le simple fait d'utiliser un VPN est illégal dans très peu d'endroits dans le monde, donc si votre connexion VPN est bloquée, il y a peu de mal à voir si OpenVPN Scramble le débloquera, il le sera probablement.

Dans ces rares circonstances où vous pourriez réellement avoir des problèmes si l'utilisation du VPN est découverte, cependant, obfsproxy ou stunnel sont plus sûrs.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me