Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#SFR 3G : quand ton opérateur procède à un Man In The Middle

Suite à notre article d'hier sur l'altération des pages web par SFR et suite à l'article de Pierre Col sur ZDNet expliquant la gravité d'un tel procédé et l'évidente atteinte à la Neutralité du Net que ceci implique, nous avons procédé à d'autres vérifications car nous soupçonnons SFR de ne pas appliquer ce genre de choses uniquement au protocole HTTP et à la visite de pages web.

Suite à notre article d'hier sur l'altération des pages web par SFR et suite à l'article de Pierre Col sur ZDNet expliquant la gravité d'un tel procédé et l'évidente atteinte à la Neutralité du Net que ceci implique, nous avons procédé à d'autres vérifications car nous soupçonnons SFR de ne pas appliquer ce genre de choses uniquement au protocole HTTP et à la visite de pages web.

Petite piqure de rappel

Article 226-15 du code pénal :

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »

SFR ? WTF ?!

Les personnes qui ont suivi mes mésaventures avec Bouygues Telecom se doutent du pourquoi j'ai une nouvelle connexion SFR. Pour l'annecdote, j'ai en ce moment des tests d'intrusion à réaliser. Alors certes, je réalise ces tests derrière un VPN, mais vous allez maintenant découvrir comment SFR procède à un man in the middle et altère également les résultats d'un SCAN.

C'est une fois de plus très grave car une machine, quelque part sur le réseau, fausse complètement les résultats de mes travaux. Aucun doute possible, une machine, sur le réseau de SFR, me ment... elle me renvoit à un truc qui n'est pas Internet.

Méthodologie :

  • Nous allons lancer 4 scan Nmap sur 4 cibles différentes depuis une connexion 3G SFR, sans VPN... à poil.
  • Nous allons ensuite  lancer 4 scans Nmap sur les mêmes cibles depuis une connexion à INTERNET, et non depuis le réseau 3G SFR, derrière notre VPN, depuis le réseau de Online.
  • Nous comparerons ensuite les résultats

Le SCAN sans VPN depuis une connexion 3G SFR

  • Cible 1 : google.com

$ nmap google.com

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:29 CET

Nmap scan report for google.com (173.194.45.67)

Host is up (0.15s latency).

Other addresses for google.com (not scanned): 173.194.45.68 173.194.45.69 (...)

rDNS record for 173.194.45.67: par03s13-in-f3.1e100.net

Not shown: 995 filtered ports

PORT STATE SERVICE

21/tcp open ftp

80/tcp open http

443/tcp open https

554/tcp open rtsp

5060/tcp open sip
  • Cible 2 : cia.gov

$ nmap cia.gov

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:19 CET

Nmap scan report for cia.gov (198.81.129.107)

Host is up (0.14s latency).

Not shown: 996 filtered ports

PORT STATE SERVICE

21/tcp open ftp

80/tcp open http

443/tcp open https

554/tcp open rtsp
  • Cible 3 : reflets.info

$ nmap reflets.info

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:18 CET

Nmap scan report for reflets.info (88.190.24.19)

Host is up (0.21s latency).

rDNS record for 88.190.24.19: elmariachi.toonux.com

Not shown: 955 closed ports, 37 filtered ports

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

25/tcp open smtp

80/tcp open http

111/tcp open rpcbind

443/tcp open https

554/tcp open rtsp

5060/tcp open sip
  • Cible 4 : bearstech.com

$ nmap bearstech.com

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:18 CET

Nmap scan report for bearstech.com (78.40.125.90)

Host is up (0.17s latency).

rDNS record for 78.40.125.90: plonours.bearstech.com

Not shown: 992 closed ports

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

80/tcp open http

135/tcp filtered msrpc

139/tcp filtered netbios-ssn

445/tcp filtered microsoft-ds

554/tcp open rtsp

5060/tcp open sip

Interpretation des résultats

Nous avons tout de suite remarqué que les résultats Nmap n'étaient pas "normaux". Ni Reflets, ni Bearstech n'ont de serveur FTP installés... Nous doutons également que Google et la CIA proposent un FTPd sur le même serveur que leur frontal web.

SCAN depuis le vrai Internet

Seconde étape, nous activons notre VPN et nous sortons au Panama pour revenir en France sur le réseau d'Online (l'un de nos serveurs). Nous allons lancer les scans depuis une machine bien isolée du 'ternaite tout pourri d'SFR Mobile... depuis le vrai Internet.

  • Cible 1 : google.com

$ nmap google.com

Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:45 CET

 Warning: Hostname google.com resolves to 11 IPs. Using 173.194.34.7.

 Interesting ports on par03s02-in-f7.1e100.net (173.194.34.7):

 Not shown: 998 filtered ports

 PORT STATE SERVICE

 80/tcp open http

 443/tcp open https
  • Cible 2 : cia.gov
$ nmap cia.gov
Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:44 CET

Interesting ports on 198.81.129.107:

Not shown: 998 filtered ports

PORT STATE SERVICE

80/tcp open http

443/tcp open https
  • Cible 3: reflets.info

$ nmap reflets.info

Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:43 CET

Interesting ports on elmariachi.toonux.com (88.190.24.19):

Not shown: 995 closed ports

PORT STATE SERVICE

22/tcp open ssh

25/tcp open smtp

80/tcp open http

111/tcp open rpcbind

443/tcp open https
  • Cible 4 : bearstech.com

$ nmap bearstech.com

Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:44 CET

Interesting ports on plonours.bearstech.com (78.40.125.90):

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

Interpretation des résultats

Sur une connexion 3G SFR, les scans me renvoient tous des ports ouverts en plus, notamment le port 21 pour le service FTP. Il ne s'agit pas de faux positifs d'Nmap mais d'un "alien" qui s'insère dans le trafic réseau, faussant ainsi les résultats obtenus.

Notre petit test met en évidence, lorsque l'on se connecte depuis un réseau neutre que des ports montrés comme ouverts sur ce que nous pensons être notre machine cible sont en fait fermés.

Nous sommes en droit de nous demander si, lorsque nous envoyons des trames d'un point A à un point B du réseau, sur le réseau SFR Mobile, le point B n'est pas en fait un point C appartenant à SFR et en aucun cas le destinataire du message.

SFR altère non seulement le contenu des pages web, mais il altère également tout votre trafic réseau.

Conclusion

SFR, va vraiment falloir que tu t'expliques mon ami, car vu d'ici, ce que j'observe, c'est la définition même d'un man in the middle et ... non rien... voir l'article 226-15 du code pénal mentionné plus haut.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée