Smtp-Tunnel-Proxy – Déguisez votre trafic en simples emails
Ce matin, en trainant sur GitHub (mon sport du dimanche, je sais c’est triste), je suis tombé sur un truc qui m’a intéressé et qui je pense vous sera utile (comme la plupart des trucs que je présente ici) surtout si vous êtes coincé derrière un pare-feu d’entreprise totalement paranoïaque. Ou encore si votre FAI s’amuse à brider certains protocoles. Ça peut arriver dans ces cas là, on se sent un peu comme un rat en cage, à chercher la moindre petite ouverture pour respirer un peu de notre liberté.
Cet outil, ça s’appelle Smtp-Tunnel-Proxy et le concept c’est de faire passer tout votre trafic pour de bêtes emails. Alors vous vous dites peut-être "Mouais, encore un tunnel qui va ramer comme pas possible", mais en creusant un peu, vous allez voir, c’est pas con.
En fait ce que fait ce petit script Python (ou binaire Go) c’est qu’il enveloppe vos paquets TCP dans une connexion qui ressemble à s’y méprendre à du trafic SMTP chiffré. En gros, le truc simule un handshake avec un serveur mail (comme Postfix), lance le chiffrement TLS 1.2+, et hop, une fois le tunnel établi, il balance la purée en binaire sans que le DPI (Deep Packet Inspection) puisse y voir quelque chose. Comme ça le firewall n’y comprend plus rien, le petit chou ^^.
C’est un peu comme un
tunnel SSH
en fait mais déguisé en serveur mail, ce qui le rend beaucoup plus discret. Parce que là où un tunnel SSH peut être repéré par sa signature un peu trop évidente, une connexion SMTP chiffrée, c’est ce qu’il y a de plus banal sur le net. Du coup, ça passe crèèèème.
Niveau fonctionnalités, x011 (le dev) a fait les choses bien. Le truc est multi-utilisateurs avec des secrets partagés pour l’auth, supporte le multiplexing (plusieurs connexions dans un seul tunnel), et gère même une whitelist d’IP pour éviter que n’importe qui ne squatte votre tunnel. C’est propre quoi.
L’installation côté serveur est simplifiée grâce notamment à un script tout fait que vous pouvez lancer sur n’importe quel petit VPS. Un petit curl et c’est réglé :
curl -sSL https://raw.githubusercontent.com/x011/smtp-tunnel-proxy/main/install.sh | sudo bash
Et côté client, c’est encore plus simple car une fois votre utilisateur créé sur le serveur, vous récupérez un petit fichier zip contenant tout ce qu’il faut. Vous lancez le script start.bat ou start.sh, et boum, vous avez un proxy SOCKS5 local qui tourne sur 127.0.0.1:1080.
Il ne vous reste alors plus qu’à configurer votre navigateur ou vos applications pour passer par ce proxy SOCKS, et vous voilà libre comme l’air.
C’est dingue ce qu’on peut faire avec un peu d’ingéniosité, non ?
Attention quand même, ça reste du tunnel, donc ne faites pas de bêtises avec… A moins que le DPI en face analyse l’entropie de manière ultra poussée (ce qui est rare car coûteux en ressources), ça devrait tenir, mais ne vous croyez pas invisible pour autant. Pour
contourner de la censure
ou accéder à vos services hébergés à la maison depuis un wifi public bridé, c’est donc l’outil parfait. Si les mails passent, tout passe !
Le code est dispo sur
GitHub
pour ceux qui veulent. Perso je me garde ça sous le coude comme ça, ni vu ni connu j’t’embouille sur ton wifi bridé nord coréen là ^^.
Source : korben.info