Shadowsocks : Qu'est-ce que c'est, comment ça marche, comparaison avec un VPN

Nous vous expliquerons le protocole, son fonctionnement, les avantages et les inconvénients, tout en le comparant à un VPN.

Qu'est-ce que Shadowsocks

Shadowsocks est un outil gratuit pour ceux qui veulent contourner les blocages de manière simple mais peu connue. Il s'agit d'un protocole réseau avec chiffrement des données. Il aide également à protéger le trafic et les données personnelles. Il est basé sur la technologie SOCKS5 et le code source est disponible sur GitHub.

Le projet a été lancé en 2012. Un développeur chinois du nom de Clowwindy a publié les premières contributions de Shadowsocks sur GitHub. Le protocole permettait de contourner les restrictions du "Bouclier d'or", le fameux pare-feu chinois. Le projet est devenu populaire dans le monde entier après sa suppression de GitHub, ce qui a attiré l'attention des médias. Les journalistes ont suggéré un lien entre la suppression et l'attaque contre GitHub, qui a eu lieu quelques jours plus tard.

Clowwindy a arrêté le développement en 2015 suite à une demande des autorités de sécurité chinoises. Depuis lors, la communauté de Shadowsocks a continué à le développer.

​

​

La carte du site Freedom House démontre bien dans quels pays Shadowsocks sera utile.

Shadowsocks est utile pour des tâches similaires à celles d'un VPN:

• Contourner les blocages. Les protocoles sont utilisés pour accéder à des ressources bloquées, que ce soit dans le pays ou par les fournisseurs et les opérateurs.
• Protéger les données personnelles. Il est plus difficile d'accéder au trafic et aux données personnelles.
• Connexion sécurisée depuis des points non sécurisés, comme via un Wi-Fi gratuit.

Comment cela fonctionne-t-il

Avec une connexion réseau standard, l'utilisateur se connecte directement à Internet via son fournisseur d'accès. Par exemple, s'il souhaite visiter un site web spécifique, il se connecte d'abord au routeur de son fournisseur, puis au site web lui-même. Si l'État souhaite bloquer ce site, il demande au fournisseur de bloquer l'accès à son adresse IP.

Pour contourner cette restriction, on utilise un proxy. Dans ce cas, un "intermédiaire" - un serveur proxy - est établi entre le fournisseur et le site web. La connexion se fait toujours via le fournisseur, mais celui-ci ne sait que la requête passe par le proxy. Ainsi, la connexion au site se fait sans restriction et le trafic revient à l'appareil de l'utilisateur. Cependant, il y a quelques problèmes, par exemple :

• Les sites web et les fournisseurs peuvent détecter que vous utilisez des outils contournant les restrictions.
• La connexion n'est pas sécurisée. Cependant, vous pouvez utiliser un proxy avec chiffrement ou un VPN, qui chiffre généralement le trafic.

Shadowsocks est nécessaire pour résoudre ces problèmes. Il chiffre les données et les présente comme un simple trafic HTML. Le protocole est basé sur SOCKS5, sur lequel nous avons un article sur notre blog. Il aide à sécuriser la connexion grâce à l'algorithme AEAD.

AEAD utilise le même principe que le tunnel SSH, mais avec des données chiffrées qui incluent également des informations sur la source et la destination. Cela complique la tâche des personnes malveillantes. Même si elles interceptent un message, elles ne pourront pas falsifier la transmission des données.

En général, les chiffres AEAD sont considérés comme moins sécurisés, selon les discussions sur Stack Exchange. Mais ils sont tout à fait suffisants pour une connexion fiable et la protection des données.

Le principe de fonctionnement de Shadowsocks : pour les programmes SS, il fonctionne comme un SOCKS5 normal, mais avec l'adresse IP 127.0.0.1. Cette adresse IP est appelée "Localhost" et la connexion se fait localement. Cela signifie que tout programme, comme un navigateur, se connecte au même appareil sur lequel le programme est en cours d'exécution. Ensuite, une connexion est établie entre le composant local de Shadowsocks et le serveur, et le trafic est déjà chiffré dans cette liaison.

Vous pouvez connecter d'autres applications à Shadowsocks et le proxy ne fonctionnera que pour les applications sélectionnées. Si l'une d'entre elles ne prend pas en charge les proxys, utilisez, par exemple, Proxifier.

​

​

Pour installer et configurer Shadowsocks, il faut comprendre un peu les connexions. Voici ce dont vous avez besoin pour commencer :

• Acheter et configurer un serveur VPS dans le pays où le contenu souhaité n'est pas bloqué, ou utiliser un serveur proxy prêt à l'emploi, que vous pouvez trouver sur des sites proposant des proxies Shadowsocks.
• Côté client-serveur. Il existe une application mobile disponible sur Google Play, vous pouvez télécharger une application pour PC sur Windows et Linux.

​

​

Ensuite, il vous suffit d'installer et de lancer le client, puis de configurer la connexion au serveur : ajoutez l'adresse IP du serveur, le port, le mot de passe et la méthode de chiffrement.

Shadowsocks propose trois modes de connexion.

1. Le mode de connexion directe ne redirige pas votre trafic via le serveur proxy. Les paramètres préconfigurés pour certaines applications fonctionnent dans ce mode.
2. Le mode PAC : le trafic passera par le serveur proxy lors de l'accès à des sites web bloqués.
3. En mode global, tout le trafic est redirigé via le serveur proxy.

Shadowsocks peut simuler une connexion HTTPS avec le serveur distant. Cela est nécessaire pour masquer le trafic. Ainsi, le fournisseur ne saura pas ce que l'utilisateur consulte et ne soupçonnera pas l'utilisation d'outils de contournement. Cette astuce est possible après l'installation du plugin de camouflage du trafic simple-obfs sur le serveur.

Le camouflage consiste à masquer et à brouiller le trafic. Cela permet de le protéger contre la détection : le fournisseur ne pourra pas savoir que vous utilisez Shadowsocks. Pour ce faire, on utilise généralement le chiffrement du code, le renommage des variables en charabia, l'ajout de code inutile, ou simplement des solutions telles que Cloak, Stunnel, OpenVPN Scramble, etc.

Les Chinois parviennent à suivre le fonctionnement de Shadowsocks grâce à l'analyse passive du trafic et à la "sondaison" active, puis à bloquer les connexions, malgré le camouflage. Dans un premier temps, le pare-feu recherche les connexions Shadowsocks potentielles ; puis, à la deuxième étape, il se connecte aux serveurs participants à ces connexions, à partir de ses propres adresses IP, comme si c'était un client Shadowsocks, et observe les réponses des serveurs.

Vous pouvez lire les détails et le mécanisme de résolution du problème sur GitHub, mais dans tous les cas, Shadowsocks fonctionne mieux que VPN.

Les avantages

1) Masquage sélectif du trafic. Vous pouvez indiquer quel trafic envoyer via le fournisseur et quel trafic envoyer via Shadowsocks. Cela permet de contourner les blocages tout en maintenant l'accès à certains services.

Exemple : travail simultané sur des sites tels qu'Instagram et des services en ligne gouvernementaux. Le premier peut être indisponible dans votre pays, tandis que les autres ne fonctionnent qu'avec des adresses IP locales. Si vous utilisez un VPN, vous pourrez accéder à Instagram, mais vous ne pourrez pas utiliser les services locaux. Cependant, certains VPN prennent en charge le fractionnement des tunnels. Avec Shadowsocks, vous pouvez résoudre ce problème : vous pouvez masquer le trafic d'Instagram tout en utilisant simultanément d'autres services.

2) Protection contre l'inspection approfondie des paquets (DPI). Le DPI est une technologie de vérification du trafic pour suivre l'utilisation d'applications spécifiques. Shadowsocks est presque impossible à détecter et à bloquer, car il simule une connexion HTTPS ordinaire. Ainsi, le fournisseur ne pourra pas détecter le comportement "non standard" de l'utilisateur.

3) Fiabilité. Shadowsocks ne disparaîtra pas même en cas de perte de connexion, si vous configurez la connexion uniquement via Shadowsocks. Si la connexion au serveur VPN est perdue, le trafic passera directement et le fournisseur verra toutes les informations. Le KillSwitch résout partiellement ce problème : il interrompt la connexion Internet en cas de perte d'accès au serveur VPN. Cependant, parfois il ne fonctionne pas ou n'est pas disponible.

4) Bonne vitesse de transfert. Avec une configuration correcte, Shadowsocks fonctionne plus rapidement que d'autres méthodes de chiffrement telles que les tunnels SSH et VPN. Les pertes de vitesse sont d'environ 3 à 5 %.

5) Polyvalence. Il existe des applications clientes pour tous les systèmes d'exploitation : Windows, MacOS, Linux (différentes distributions), Android et iOS.

6) Réduction de la charge de calcul pour le chiffrement. Du point de vue du client, cela économise la batterie (utile pour les appareils mobiles), et du point de vue du serveur, cela permet d'économiser sur l'hébergement VPS/VDS pour Shadowsocks.

7) Économie. Le moyen le moins cher de mettre en place Shadowsocks est d'utiliser le serveur VPS le moins cher. Idéalement, l'hébergeur fournit un trafic illimité avec l'utilisation de VPS/VDS. Cela est beaucoup plus rentable que d'utiliser un service VPN payant. Vous pouvez également utiliser des proxies tiers, mais les options de WannaFlix, 12VPN sont beaucoup plus chères qu'un serveur dédié, d'environ 10 $ par mois.

Pour comparaison : vous pouvez louer un VPS avec 5 Go de stockage, 0,5 Go de RAM et un trafic illimité pour 0,87 $. Cela suffit amplement pour Shadowsocks. Les services VPN les moins chers coûtent généralement environ 2 $ par mois, soit le double du prix, et vous devez payer immédiatement un abonnement de 2 à 3 ans. Nous n'envisageons pas les VPN gratuits - ils transfèrent des données, limitent la vitesse et le trafic.

Les inconvénients

1) Difficulté d'utilisation. Il faut comprendre comment fonctionnent les ordinateurs et les connexions, mais la configuration tient en 5 lignes. Les VPN sont bien plus simples.

2) Risque de baisse de la vitesse de connexion. Selon les obfuscateurs utilisés, il y a un risque que Shadowsocks ralentisse considérablement la vitesse d'Internet.

3) Limitations d'utilisation. Shadowsocks peut être utilisé pour contourner la région Netflix, mais cette méthode ne fonctionnera pas longtemps : le service surveille les différents systèmes de contournement. Ce n'est pas non plus la meilleure solution pour les fichiers Torrent : si vous louez un serveur, il est facile de retracer votre nom et votre carte, puis de vous accuser de violation des droits d'auteur.

4) Disponibilité limitée. Malgré la popularité de Shadowsocks, il est difficile de se procurer ou de se connecter à des serveurs VPS fiables dans certaines régions.

5) Pas d'audit officiel. Le code source de Shadowsocks est accessible et a été étudié par de nombreux experts. Cependant, il n'a pas fait l'objet d'un audit officiel, contrairement à OpenVPN, par exemple. Un audit officiel aurait pu être réalisé par le fonds OSTIF (Open Source Technology Improvement Fund), créé précisément pour renforcer la sécurité de ce type de projet. Cependant, le code de Shadowsocks est assez simple, ce qui crée un risque de diffusion de faux paquets de logiciels.

VPN vs Shadowsocks

VPN et Shadowsocks sont des outils différents. Le premier est un réseau privé virtuel (VPN), nous en avons parlé dans notre blog, et le second est un protocole proxy. Techniquement, ils sont tous deux :

• Chiffrent le trafic
• Aident à contourner les blocages

Mais Shadowsocks propose un chiffrement plus simple et n'offre pas d'anonymat sur Internet. Le projet a été développé à l'origine non pas pour des raisons de sécurité, mais pour contourner le pare-feu chinois. Cependant, ce problème a été partiellement résolu dans ShadowsocksR, dont nous parlerons à la fin de l'article. Les VPN utilisent généralement un algorithme AES-256 plus complexe.

De plus, les services VPN offrent souvent de nombreuses fonctionnalités supplémentaires. Par exemple, le KillSwitch. Un VPN est un "tunnel", donc si le VPN arrête de fonctionner, le trafic passera directement. Dans ce cas, l'adresse IP réelle peut être facilement compromise. Le KillSwitch protège contre cela en interrompant immédiatement la connexion Internet en cas de perte d'accès au serveur VPN.

Enfin, les VPN offrent un vaste réseau de serveurs. Vous pouvez accéder à Internet depuis différents pays, chaque fois avec une adresse IP différente correspondant au pays du serveur choisi.

Conclusion : les VPN sont plus pratiques, plus sécurisés et plus simples. Si vous y avez accès et qu'ils répondent à vos besoins, utilisez-les. Si vous rencontrez des difficultés, Shadowsocks devrait résoudre le problème : il fonctionne beaucoup mieux dans les pays où les VPN sont bloqués et où il est difficile de contourner les restrictions. Avec Shadowsocks, les données ressemblent au trafic HTTPS et n'éveillent aucun soupçon. L'utilisation de plusieurs connexions TCP permet d'obtenir une vitesse élevée. Pour un simple contournement des blocages, il est également plus économique.

Shadowsocks vs VPN

SSR (ShadowsocksR)

Aujourd'hui, Shadowsocks a sa propre communauté et un site web. Ainsi, les passionnés peuvent créer leurs propres versions basées sur le projet. Par exemple, après la fermeture de Shadowsocks en 2015, un autre développeur du nom de breakwa11 a déclaré que SS était facile à détecter. Il a créé Sha