Ce matin, en trainant sur GitHub (mon sport du dimanche, je sais c’est triste), je suis tomb\u00e9 sur un truc qui m’a int\u00e9ress\u00e9 et qui je pense vous sera utile (comme la plupart des trucs que je pr\u00e9sente ici) surtout si vous \u00eates coinc\u00e9 derri\u00e8re un pare-feu d’entreprise totalement parano\u00efaque. Ou encore si votre FAI s’amuse \u00e0 brider certains protocoles. \u00c7a peut arriver dans ces cas l\u00e0, on se sent un peu comme un rat en cage, \u00e0 chercher la moindre petite ouverture pour respirer un peu de notre libert\u00e9.<\/p>\n

Cet outil, \u00e7a s’appelle Smtp-Tunnel-Proxy<\/strong> et le concept c’est de faire passer tout votre trafic pour de b\u00eates emails. Alors vous vous dites peut-\u00eatre “Mouais, encore un tunnel qui va ramer comme pas possible<\/em>“, mais en creusant un peu, vous allez voir, c’est pas con.<\/p>\n

En fait ce que fait ce petit script Python (ou binaire Go) c’est qu’il enveloppe vos paquets TCP dans une connexion qui ressemble \u00e0 s’y m\u00e9prendre \u00e0 du trafic SMTP chiffr\u00e9. En gros, le truc simule un handshake avec un serveur mail (comme Postfix), lance le chiffrement TLS 1.2+, et hop, une fois le tunnel \u00e9tabli, il balance la pur\u00e9e en binaire sans que le DPI (Deep Packet Inspection) puisse y voir quelque chose. Comme \u00e7a le firewall n’y comprend plus rien, le petit chou ^^.<\/p>\n

\n
curl -sSL https:\/\/raw.githubusercontent.com\/x011\/smtp-tunnel-proxy\/main\/install.sh | sudo bash\n<\/span><\/span><\/code><\/pre>\nEt c\u00f4t\u00e9 client, c’est encore plus simple car une fois votre utilisateur cr\u00e9\u00e9 sur le serveur, vous r\u00e9cup\u00e9rez un petit fichier zip contenant tout ce qu’il faut. Vous lancez le script start.bat<\/code> ou start.sh<\/code>, et boum, vous avez un proxy SOCKS5 local qui tourne sur 127.0.0.1:1080<\/code>.<\/p>\n Il ne vous reste alors plus qu’\u00e0 configurer votre navigateur ou vos applications pour passer par ce proxy SOCKS, et vous voil\u00e0 libre comme l’air.<\/p>\n <\/p>\n C’est dingue ce qu’on peut faire avec un peu d’ing\u00e9niosit\u00e9, non ?<\/p>\nAttention quand m\u00eame, \u00e7a reste du tunnel, donc ne faites pas de b\u00eatises avec… A moins que le DPI en face analyse l’entropie de mani\u00e8re ultra pouss\u00e9e (ce qui est rare car co\u00fbteux en ressources), \u00e7a devrait tenir, mais ne vous croyez pas invisible pour autant. Pour \ncontourner de la censure<\/a> \nou acc\u00e9der \u00e0 vos services h\u00e9berg\u00e9s \u00e0 la maison depuis un wifi public brid\u00e9, c’est donc l’outil parfait. Si les mails passent, tout passe !<\/p>\n Le code est dispo sur \nGitHub<\/a> \npour ceux qui veulent. Perso je me garde \u00e7a sous le coude comme \u00e7a, ni vu ni connu j’t’embouille sur ton wifi brid\u00e9 nord cor\u00e9en l\u00e0 ^^.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":" Ce matin, en trainant sur GitHub (mon sport du dimanche, je sais c’est triste), je suis tomb\u00e9 sur un truc qui m’a int\u00e9ress\u00e9 et qui je pense vous sera utile (comme la plupart des trucs que je pr\u00e9sente ici) surtout si vous \u00eates coinc\u00e9 derri\u00e8re un pare-feu d’entreprise totalement parano\u00efaque. Ou encore si votre FAI s’amuse \u00e0 brider certains protocoles. \u00c7a peut arriver dans ces cas l\u00e0, on se sent un peu comme un rat en cage, \u00e0 chercher la moindre petite ouverture pour respirer un peu de notre libert\u00e9. Cet outil, \u00e7a s’appelle Smtp-Tunnel-Proxy et le concept c’est de faire passer tout votre trafic pour de b\u00eates emails. Alors vous vous dites peut-\u00eatre “Mouais, encore un tunnel qui va ramer comme pas possible“, mais en creusant un peu, vous allez voir, c’est pas con. En fait ce que fait ce petit script Python (ou binaire Go) c’est qu’il enveloppe vos paquets TCP dans une connexion qui ressemble \u00e0 s’y m\u00e9prendre \u00e0 du trafic SMTP chiffr\u00e9. En gros, le truc simule un handshake avec un serveur mail (comme Postfix), lance le chiffrement TLS 1.2+, et hop, une fois le tunnel \u00e9tabli, il balance la pur\u00e9e en binaire sans que le DPI (Deep Packet Inspection) puisse y voir quelque chose. Comme \u00e7a le firewall n’y comprend plus rien, le petit chou ^^. C’est un peu comme un tunnel SSH en fait mais d\u00e9guis\u00e9 en serveur mail, ce qui le rend beaucoup plus discret. Parce que l\u00e0 o\u00f9 un tunnel SSH peut \u00eatre rep\u00e9r\u00e9 par sa signature un peu trop \u00e9vidente, une connexion SMTP chiffr\u00e9e, c’est ce qu’il y a de plus banal sur le net. Du coup, \u00e7a passe cr\u00e8\u00e8\u00e8\u00e8me. Niveau fonctionnalit\u00e9s, x011 (le dev) a fait les choses bien. Le truc est multi-utilisateurs avec des secrets partag\u00e9s pour l’auth, supporte le multiplexing (plusieurs connexions dans un seul tunnel), et g\u00e8re m\u00eame une whitelist d’IP pour \u00e9viter que n’importe qui ne squatte votre tunnel. C’est propre quoi. L’installation c\u00f4t\u00e9 serveur est simplifi\u00e9e gr\u00e2ce notamment \u00e0 un script tout fait que vous pouvez lancer sur n’importe quel petit VPS. Un petit curl et c’est r\u00e9gl\u00e9 : curl -sSL https:\/\/raw.githubusercontent.com\/x011\/smtp-tunnel-proxy\/main\/install.sh | sudo bash Et c\u00f4t\u00e9 client, c’est encore plus simple car une fois votre utilisateur cr\u00e9\u00e9 sur le serveur, vous r\u00e9cup\u00e9rez un petit fichier zip contenant tout ce qu’il faut. Vous lancez le script start.bat ou start.sh, et boum, vous avez un proxy SOCKS5 local qui tourne sur 127.0.0.1:1080. Il ne vous reste alors plus qu’\u00e0 configurer votre navigateur ou vos applications pour passer par ce proxy SOCKS, et vous voil\u00e0 libre comme l’air. C’est dingue ce qu’on peut faire avec un peu d’ing\u00e9niosit\u00e9, non ? Attention quand m\u00eame, \u00e7a reste du tunnel, donc ne faites pas de b\u00eatises avec… A moins que le DPI en face analyse l’entropie de mani\u00e8re ultra pouss\u00e9e (ce qui est rare car co\u00fbteux en ressources), \u00e7a devrait tenir, mais ne vous croyez pas invisible pour autant. Pour contourner de la censure ou acc\u00e9der \u00e0 vos services h\u00e9berg\u00e9s \u00e0 la maison depuis un wifi public brid\u00e9, c’est donc l’outil parfait. Si les mails passent, tout passe ! Le code est dispo sur GitHub pour ceux qui veulent. Perso je me garde \u00e7a sous le coude comme \u00e7a, ni vu ni connu j’t’embouille sur ton wifi brid\u00e9 nord cor\u00e9en l\u00e0 ^^.<\/p>\n","protected":false},"author":1,"featured_media":2234,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2233","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2233","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2233"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2233\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2234"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2233"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}