Inspection SNI : comment les censeurs voient votre destination malgré HTTPS

Imaginez que vous envoyiez une lettre dans une enveloppe scellée et chiffrée. Le contenu à l'intérieur est illisible pour quiconque l'intercepte. Mais vous avez écrit l'adresse du destinataire sur l'enveloppe elle-même, en gros caractères, avant de la sceller. N'importe qui regardant passer cette lettre sait où elle va, même s'il ne peut pas lire le message à l'intérieur. C'est exactement ce qui se passe avec HTTPS et l'inspection SNI. HTTPS chiffre le contenu de vos communications internet, mais une partie cruciale de la négociation de la connexion reste visible en clair : le nom du domaine auquel vous essayez de vous connecter. Les censeurs exploitent cette information pour bloquer l'accès avant même que vos données soient chiffrées. Pourquoi le nom de domaine est-il révélé ? Pour comprendre cela, il faut d'abord saisir un problème technique fondamental : beaucoup de sites internet partagent la même adresse IP. Quand votre ordinateur établit une connexion HTTPS avec un serveur, il doit d'abord effectuer une "poignée de main" appelée TLS handshake. À ce moment, le serveur doit savoir quel site vous voulez atteindre parmi les centaines ou milliers qu'il héberge potentiellement. C'est l'hébergement virtuel basé sur le nom d'hôte. Donc, avant même que le chiffrement se mette en place, vous devez dire au serveur : "Bonjour, je veux parler à exemple.com." Cette information, appelée SNI (Server Name Indication), voyage en clair dans les paquets initiaux de la négociation. Elle apparaît dans tous les logs de votre fournisseur internet, dans les équipements réseau des gouvernements, et sur les serveurs des intermédiaires réseau. C'est un compromis architectural inévitable : sans SNI en clair, les serveurs hébergant plusieurs sites sur une seule adresse IP ne sauraient pas lequel ouvrir pour vous. Le chiffrement du SNI lui-même créerait une boucle logique — vous ne pouvez pas chiffrer sans savoir vers quel serveur envoyer les clés de chiffrement. Comment les censeurs utilisent l'inspection SNI Une fois qu'un censeur voit votre SNI en clair, il a plusieurs options. La plus simple : il bloque simplement la connexion. Votre fournisseur internet reçoit une instruction : si quelqu'un demande la SNI "sitenondésirée.com", fermez la connexion immédiatement. C'est ce qu'on appelle le filtrage au niveau du SNI. Cette approche est efficace pour les censeurs et bon marché à mettre en œuvre. Contrairement aux inspections de contenu (qui nécessitent de déchiffrer le trafic, une tâche informatiquement coûteuse), l'inspection SNI se fait simplement en regardant le nom de domaine en clair. Un simple pare-feu suffit. Plus sophistiqué : certains censeurs peuvent aussi modifier les réponses DNS ou rediriger le trafic vers des serveurs de leur choix. Mais l'inspection SNI reste la technique préférée car elle est directe et ne nécessite pas de s'approprier votre requête DNS. Quels pays utilisent cette technique ? Le filtrage SNI est documenté dans plusieurs pays. La Chine, la Turquie, l'Égypte et la Russie l'utilisent largement. Certains rapports suggèrent que plusieurs gouvernements européens explorent aussi ses possibilités, mais généralement de façon moins systématique. Les données précises et complètes sur le déploiement global restent difficiles à obtenir, car les censeurs n'annoncent pas publiquement leurs méthodes. Encrypted Client Hello : une solution émergente La communauté internet a reconnu ce problème et travaille sur une solution : Encrypted Client Hello (ECH), précédemment appelée ESNI. L'idée est simple en théorie : chiffrer le SNI lui-même avant de l'envoyer au serveur. Mais cela introduit une complexité nouvelle. Pour chiffrer le SNI, vous avez besoin d'une clé de chiffrement — mais comment l'obtenir sans d'abord contacter le serveur ? La solution utilise les enregistrements DNS : les serveurs publient des clés publiques dans le DNS, et votre navigateur les télécharge pour chiffrer le SNI avant la connexion HTTPS principale. ECH offre une protection réelle contre l'inspection SNI. Cependant, le déploiement reste lent. Les navigateurs l'implémentent progressivement, les serveurs hésitent à l'activer, et une nouvelle vulnérabilité apparaît : un censeur peut bloquer les requêtes DNS contenant les enregistrements de clé ECH, empêchant complètement la fonctionnalité. Ce n'est pas une solution miracle, juste un pas en avant. Les tradeoffs et les limites L'inspection SNI révèle seulement le domaine, pas les pages individuelles ou le trafic chiffré. Un censeur voit que vous visitez un site de nouvelles, pas quel article vous lisez. C'est une distinction importante : c'est puissant pour bloquer des domaines entiers, mais moins utile pour surveiller un individu spécifique. De plus, l'inspection SNI seule ne suffit pas pour une surveillance totale. Une personne déterminée dispose d'autres outils : les VPN, l'utilisation de Tor, ou le chiffrement au niveau applicatif. L'inspection SNI est une couche de contrôle, pas une panacée de censure. La leçon centrale HTTPS chiffre le contenu, mais pas l'adresse. Comprendre cette distinction est essentiel pour saisir les limites du chiffrement moderne et les défis actuels de la vie privée en ligne. ECH progresse lentement, mais même sans lui, d'autres technologies peuvent aider à contourner le filtrage SNI. La bataille entre protection et censure se joue à de nombreux niveaux simultanément, et le SNI n'en est que l'un.