Sur Nawaat nous avons publié hier une astuce pour contourner la censure d’Appspot.com via le fichier Hosts. Ce qui au demeurant permet d’accéder au site TuniLeaks.

En terminant la note sur ce sujet, nous avons rappelé que «ceci n’est qu’un moyen provisoire, en attendant des jours meilleurs. Et sûrement que d’ici là, la “chienne au front bas” passera pour griller ces nouvelles IP

Et, effectivement, la censure n’a pas tardé. Elle est passée aujourd’hui pour bloquer, toujours aussi illégalement, de nouvelles DNS et de nouvelles IP, y compris celle que nous avons proposée hier.

Qu’à cela ne tienne ! Nous avons également promis que “nous aussi, on repassera avec de nouveaux moyens, jusqu’à ce que nos libertés fondamentales garanties par la Constitution soient respectées.”

Donc on continue à jouer au chat et à la souris, tout en faisant en sorte que cela soit encore plus compliqué pour la censure.

Avant de passer aux explications, voici les nouvelles IP à insérer dans le fichier “hosts” (cf. le chemin du fichier dans la 1ere note de bas de page) :


74.125.232.112 astrubal.appspot.com # IP Google search
74.125.232.114 tunileaks.appspot.com # IP Google search
74.125.232.118 zabastan.appspot.com # IP Google mail
74.125.232.119 tunisistan.appspot.com # IP Google mail
74.125.232.117 astrubal-bookmarklet.appspot.com # IP Google mail

Outre TuniLeaks, il s’agit également des proxies sécurisés mis à disposition : zabastan.appspot.com | tunisistan.appspot.com | astrubal.appspot.com. Il y a aussi la page des bookmarklets anti-censure https://astrubal-bookmarklet.appspot.com.

 
        … Et voici ce que ça donne une fois intégré au fichier, tant sur mon mac que sur mon smartphone :

 

Astrubal's Hosts file

 

Quelque clarifications s’imposent, pour que chacun sache ce qu’il fait.

Cette fois-ci, nous avons choisi de nous couvrir sous deux gros “parapluies“. En ce sens, les IP proposées sont celles utilisées par Google Search et Google Mail. Si la censure insiste encore à bloquer Tunileaks et les services de Nawaat, ils bloqueront alors deux des principaux services de Google, soit le Mail et la Recherche Web… sporadiquement, si ce n’est pas intégralement (2).

Ce qu’il y a d’avantageux avec la myriade des services de Google, c’est que ses serveurs s’appuient principalement sur l’instruction “host” du protocole HTTP pour dispatcher le traitement des requêtes.

Google dispose d’un nombre incalculable d’IP. Entre YouTube et Google Search, ce sont des centaines de milliers d’IP. D’après ce que j’ai pu relever, Google a fait le choix de garder une flexibilité totale de ces IP. Google privilégie l’instruction http “host” pour différencier le traitement des requêtes sur ses serveurs. Plus clairement, et d’une façon générale, les IP ne sont pas liées à un service en particulier, mais pleinement polyvalentes et c’est l’instruction “host” de l’entête http qui identifie le service destinataire de la requête. C’est ce qui fait qu’au sein de la “nébuleuse” Google, une même IP peut être utilisée pour tel service web comme pour tel autre.

Et là où ça devient très intéressant, c’est que malgré cette polyvalence des IP de Google, l’une des règles sur laquelle s’appuie l’Internet, c’est celle qui consiste à accoler au niveau des “serveurs de nom (DNS)” une IP pour chaque nom de domaine. Et quand les utilisateurs saisissent sur leur navigateur youtube.com par exemple, c’est cette même IP enregistrée auprès du serveur de nom qui est utilisée par tous ceux qui font la même requête.

Or, comme chez Google les IP sont polyvalentes, on peut court-cuicuiter le serveur de nom en paramétrant une IP différente par le biais du fichier “Hosts”. Et par voie de conséquence, rien n’empêche que l’IP donnée par le “serveur de nom” -disons pour “mail.google.com”- soit utilisée pour http://tuniLeak.appspot.com.

A ce stade, la fameuse “chienne au front bas“, peut toujours intervenir pour bloquer la requête en filtrant le nom de domaine figurant dans l’instruction “Host” de l’entête http, et ce, quelle que soit l’IP utilisée. Cependant, et par bonheur, pour les requêtes en HTTPS, notre “Chienne” peut toujours aller se gratter. En effet, ses filtres sont incapables de distinguer les requêtes qui vont vers Google Mail, de celles vers tuniLeak.appspot.com, puisque le contenu de l’instruction “Host” est crypté. Le seul moyen qui reste à la censure, c’est de bloquer totalement l’IP en question. D’où le blocage de tous les services qui l’utilisent.

Est-il sage de détailler autant dans ce post la procédure de contournement indiquée, au risque de donner au censeur des éléments de nature à le renforcer ? C’est en tout cas la question que l’ami Sami m’a posée.

Je pense qu’il est utile de le faire afin de donner des éléments pour mieux comprendre comment ça se passe. Quant au censeur, ça ne change rien pour lui, dans la mesure il ne peut strictement rien faire à l’égard de cette procédure hormis, encore une fois, de griller l’IP et tous les services qui vont avec. Oseraient-ils faire cela pour bloquer Nawaat tout en privant les Tunisiens de Google Search et de Google Mail ? Ou se limiteraient-ils à bloquer le port 443 du HTTPS tout en paralysant les services bancaires et la vie économique nationale ?

Rien ne nous étonnera plus d’un tel régime despotique qui s’affole à l’idée même qu’un tunisien puisse exercer ses droits de citoyen sur un support médiatique en exprimant son opinion pour dire “Non… Je n’aime pas Ben Ali, c’est un despote et je désire qu’il parte”.

Astrubal, le 3 décembre 2010

http://astrubal.nawaat.org/
http://nawaat.org/
Mon compte sur Twitter @astrubaal
Celui de Nawaat.org @nawaat

 

PS : Sur ce lien, un billet où figurent, en annexes, des illustrations détaillées sur la procédure de modification du fichier “hosts”.

 

———————-
(1) – Sur Mac, voici le chemin du fichier Hosts:

/private/etc/hosts
– Là sur Windows :
c:\winnt\system32\drivers\etc\hosts
– et si vous êtes sur Linux, c’est que vous savez déjà où se trouve ce fichier :)

(2).- Pour le cas du géant Google tout particulièrement, et parce que l’IP que donnera le “Serveur de DNS” peut varier d’un serveur à l’autre, le blocage du service en bloquant l’IP peut ne pas être total. Pour exemple, voici deux requêtes nslookup “mail.google.com” via deux “Serveurs de DNS” différents, même jour même heure.

mail.google.com canonical name = googlemail.l.google.com.
a – Name: googlemail.l.google.com
Address: 74.125.95.18
Name: googlemail.l.google.com
Address: 74.125.95.19
Name: googlemail.l.google.com
Address: 74.125.95.83
Name: googlemail.l.google.com
Address: 74.125.95.17

b- mail.google.com canonical name = googlemail.l.google.com.
Name: googlemail.l.google.com
Address: 74.125.232.118
Name: googlemail.l.google.com
Address: 74.125.232.119
Name: googlemail.l.google.com
Address: 74.125.232.120
Name: googlemail.l.google.com
Address: 74.125.232.117