Dans cet article, nous explorerons et analyserons en profondeur Domain fronting, une figure/sujet/émotion/thème qui a capté l'attention et la curiosité de personnes de tous âges et de tous horizons. Domain fronting est un phénomène/tendance/aspect qui a suscité un grand intérêt et un grand débat dans la société contemporaine, et il est important de comprendre son impact et sa pertinence dans le monde d'aujourd'hui. Tout au long de ces pages, nous examinerons différents aspects et perspectives de Domain fronting, depuis son origine et son évolution jusqu'à son influence dans divers domaines de la vie quotidienne. Avec l'aide d'experts et de témoignages, nous tenterons d'éclairer ce sujet passionnant/fascinant/controversé, dans le but d'apporter une vision plus complète et enrichissante de Domain fronting.
Domain fronting (utilisation de domaine-écran, écran de domaines ou façade de domaine en français) est une technique qui permet de contourner la censure d'Internet en dissimulant la véritable destination d'une connexion. Fonctionnant au niveau de la couche application, cette technique permet à un utilisateur de se connecter par HTTPS à un service interdit, tout en paraissant communiquer avec un site différent.
En avril 2018, Google réorganise son réseau et désactive les écrans de domaines, argumentant que cette fonctionnalité « n'a jamais été prise en charge »,. Le même mois, Amazon supprime le domain fronting de son service CloudFront déclarant que cette caractéristique « violait les termes du contrat d'Amazon Web Services »,,.
Ces changements de la part des deux entreprises, Google et Amazon, sont en partie dus à la pression exercée par le gouvernement russe sur l'application de messagerie sécurisée Telegram, qui utilisait ces réseaux pour effectuer du domain fronting,,.
La technique consiste à utiliser des noms de domaine différents pour les couches de communication différentes. Le nom de domaine d'un site autorisé est utilisé pour initialiser la connexion. Ce nom de domaine est visible par un observateur dans la requête DNS et dans la TLS Server Name Indication. Le nom de domaine de la destination réelle est transmis après la mise en place de la connexion chiffrée HTTPS, dans la liste des en-têtes de requête HTTP (en-tête Host
), le rendant ainsi invisible pour la censure. Cette technique peut être utilisée si le site servant de leurre et le site réel sont hébergés par un même opérateur d'envergure,,.
Pour un nom de domaine donné, les systèmes de surveillance ne peuvent distinguer le trafic légitime du trafic détourné. La censure est alors contrainte soit d'autoriser l'ensemble du trafic à destination d'un nom de domaine, soit de le bloquer entièrement, ce qui peut engendrer des dommages collatéraux onéreux,,.