Qu'est-ce que uTLS ? L'empreinte TLS et Reality expliqués
uTLS est une bibliothèque qui permet à un client de contrôler la forme exacte de sa poignée de main TLS afin qu'elle corresponde à celle d'un vrai navigateur. Elle existe parce que les censeurs peuvent établir l'empreinte des poignées de main TLS pour repérer les clients VPN, et uTLS rend cette empreinte impossible à distinguer d'un trafic de navigateur ordinaire.
Poignées de main TLS et empreintes
Chaque connexion HTTPS commence par une poignée de main TLS, où le client envoie un message Hello listant les chiffrements, extensions et paramètres qu'il prend en charge. L'ordre et la combinaison précis de ces champs forment une empreinte. Différents logiciels, comme Chrome, Firefox ou une bibliothèque VPN, produisent un motif distinct que les observateurs peuvent reconnaître au premier coup d'œil.
Comment JA3 démasque les clients VPN
JA3 est une méthode qui condense les détails d'un Client Hello TLS en une courte signature. Les censeurs et les pare-feux tiennent à jour des listes de hachages JA3 appartenant aux outils VPN et proxy. Si votre poignée de main produit une empreinte VPN connue, la connexion peut être bloquée instantanément, même si le trafic lui-même est entièrement chiffré et que la destination paraît innocente.
Ce que fait réellement uTLS
Les bibliothèques TLS standard génèrent leurs propres messages Hello reconnaissables. uTLS permet au contraire à une application d'émettre une poignée de main identique octet pour octet à celle d'un navigateur choisi, comme la version actuelle de Chrome. L'empreinte JA3 obtenue correspond alors à des millions d'utilisateurs réels, si bien qu'un censeur ne peut pas l'isoler sans bloquer aussi des navigateurs légitimes.
uTLS au sein de Reality et Xray
Dans le cœur Xray, VLESS Reality s'appuie sur uTLS pour forger une poignée de main convaincante vers un vrai site web. Le censeur voit une connexion TLS normale vers un domaine populaire avec une empreinte parfaite de navigateur. Reality redirige ensuite discrètement les clients authentifiés vers le proxy, tandis que les sondes non autorisées sont transmises au site authentique.
Pourquoi l'empreinte compte
À mesure que le DPI se perfectionne, faire correspondre l'empreinte TLS fait souvent la différence entre une connexion stable et un blocage instantané. Un protocole peut être parfaitement chiffré et pourtant échouer si sa poignée de main paraît inhabituelle. uTLS comble cette lacune, ce qui explique pourquoi il est devenu un composant central des outils résistants à la censure.
Veepen s'appuie sur Xray avec VLESS Reality et uTLS pour que votre poignée de main ressemble à celle d'un vrai navigateur sur Android et Android TV. Un seul geste pour vous connecter, et rejoignez @veepen_vpn pour suivre les améliorations des protocoles.