Client Hello Chiffré (ECH) : Le nouveau bouclier de confidentialité qui défie les blocages sur Internet

Client Hello Chiffré (ECH) : Le nouveau bouclier de confidentialité qui défie les blocages sur Internet

Au cours des dernières années, la confidentialité sur Internet a été un sujet central tant pour les utilisateurs que pour les entreprises proposant des services web. Avec les progrès des technologies de cryptage, la capacité des intermédiaires — à l’instar des fournisseurs de services Internet (FAI) — pour surveiller et filtrer le trafic des utilisateurs a été considérablement réduite. L’une des innovations les plus récentes dans ce domaine est le Encrypted Client Hello (ECH), un protocole qui transforme la façon dont le trafic web est protégé, rendant beaucoup plus difficile de bloquer ou de censurer des sites Web.

Qu’est-ce que le Encrypted Client Hello (ECH) ?

Le ECH est une extension du protocole TLS (Transport Layer Security), qui est utilisé pour sécuriser la communication entre un navigateur et un serveur web. Bien que le TLS crypte la plupart des informations transmises lors d’une connexion, jusqu’à présent, il y avait une partie critique qui restait en texte clair : l’Server Name Indication (SNI). L’SNI est un champ dans la phase initiale de la connexion (le « handshake ») qui indique au serveur le nom de domaine auquel l’utilisateur souhaite accéder.

Le problème avec le SNI est que tout intermédiaire — comme un fournisseur de services Internet — pouvait inspecter ce champ pour voir à quel site Web l’utilisateur tentait d’accéder, même si le reste de la connexion était crypté. Cela a été un outil clé pour les gouvernements et les opérateurs pour bloquer l’accès à certains sites Web, car ils avaient juste besoin d’identifier le nom du serveur pour filtrer le trafic.

Le défi de l’ECH : Crypter le SNI

Le protocole ECH résout cette vulnérabilité en cryptant le SNI avec d’autres données de la connexion initiale, cachant ainsi le nom du serveur auquel l’utilisateur veut accéder. Au lieu qu’un intermédiaire puisse voir le domaine exact, il ne pourra voir que l’utilisateur tente de se connecter à un serveur utilisant ECH, mais ne saura pas quel domaine spécifique est consulté.

Cette avancée rend les techniques de blocage de contenu basées sur le SNI — comme celles utilisées en Espagne par Movistar et LaLiga pour bloquer des sites diffusant du contenu piraté — pratiquement inefficaces. Puisque un grand nombre de sites Web sont hébergés sur le réseau de distribution de contenu Cloudflare, qui a activé ECH en octobre 2023, les blocages sur Internet sont devenus beaucoup plus compliqués pour les opérateurs et les entités de droits d’auteur.

Comment fonctionne le ECH ?

Dans une connexion TLS traditionnelle, le client (navigateur) envoie un message appelé ClientHello au serveur, qui contient une liste d’algorithmes cryptographiques, la version de TLS, et, crucialement, le SNI en texte clair. Avec ECH, ce message est divisé en deux parties : une extérieure et une intérieure. La partie extérieure contient des informations non sensibles, telles que l’algorithme cryptographique qui sera utilisé, tandis que la partie intérieure inclut le SNI crypté.

L’intermédiaire, comme un FAI, ne peut voir que la partie externe du ClientHello, qui révèle des informations génériques. Le SNI réel, qui spécifie le domaine exact, reste caché jusqu’à ce que le serveur, qui possède la clé pour déchiffrer le message, le reçoive et le déchiffre.

Implications pour la censure et les blocages de contenu

L’introduction de ECH constitue un grand changement dans la façon dont les gouvernements et les opérateurs peuvent appliquer des restrictions sur Internet. Jusqu’à présent, des systèmes comme le DPI (Deep Packet Inspection) pouvaient analyser le SNI pour identifier et bloquer l’accès à certains sites. Cependant, avec ECH activé, cette technique devient obsolète, car ils ne peuvent pas voir quel site est visité.

Cela a généré de l’inquiétude parmi les entités qui dépendent du blocage des sites Web pour faire appliquer les lois sur les droits d’auteur ou les politiques de censure. Un exemple récent en Espagne est la lutte de LaLiga et des opérateurs pour bloquer les sites diffusant des matchs de football sans autorisation. Avec ECH, les sites Web qui étaient habituellement bloqués peuvent redevenir accessibles, car les opérateurs n’ont aucun moyen d’identifier les connexions vers ces sites.

L’impact de Cloudflare sur l’adoption de ECH

Cloudflare, l’un des plus grands fournisseurs de services de sécurité et de performances web, a été clé dans l’adoption de ECH. Avec plus de 20 % des sites web dans le monde hébergés sur son réseau, l’activation de ECH en octobre 2023 a marqué un tournant dans la sécurité et la confidentialité du trafic web. Bien que Cloudflare ait dû désactiver temporairement ECH peu après son lancement en raison de problèmes techniques, en août 2024, on s’attend à ce que ECH soit disponible de manière obligatoire pour tous les comptes gratuits de Cloudflare, et optionnel pour les plans payants.

Cela signifie que de plus en plus de sites Web seront protégés par ECH, compliquant la tâche de bloquer le contenu sur le web. Pour les utilisateurs, cette avancée offre une plus grande confidentialité et liberté, car ils pourront accéder à des sites Web sans craindre que leurs connexions soient inspectées ou bloquées.

Quel avenir pour ECH ?

Au fur et à mesure que ECH continue son déploiement, les défenseurs de la vie privée ainsi que les régulateurs seront attentifs à ses implications. Pour les opérateurs et les entités de droits d’auteur, ce nouveau protocole représente un défi dans la lutte contre le contenu non autorisé. Cependant, pour les utilisateurs et les défenseurs de la neutralité du net, ECH représente une avancée cruciale dans la protection de la vie privée et de la liberté sur Internet.

Entre-temps, des navigateurs tels que Chrome et Firefox ont déjà annoncé leur soutien pour ECH, assurant que le protocole sera intégré de manière généralisée dans les prochaines années. Dans un monde où la confidentialité en ligne est de plus en plus valorisée, Encrypted Client Hello semble destiné à devenir un outil essentiel dans la protection des droits numériques.

Conclusion

Le protocole Encrypted Client Hello représente un grand pas vers une plus grande confidentialité et sécurité sur Internet. Sa capacité à crypter le SNI et à cacher l’identité des sites Web visités aux intermédiaires externes est une révolution dans la façon dont le trafic web est géré. Bien qu’il pose des défis pour les opérateurs et les entités cherchant à bloquer des sites, pour les utilisateurs, il représente une avancée cruciale dans la protection de leur vie privée. Avec le temps, ECH pourrait changer à jamais le paysage de la censure et de la surveillance sur Internet.