Journal d'investigation en ligne et d'information‑hacking
par bluetouff

SFR modifie le source HTML des pages que vous visitez en 3G

Au détour de quelques surfs sur une connexion 3G SFR, votre serviteur a eu une fort désagréable surprise. En affichant le source HTML de plusieurs sites web, je suis tombé sur quelques bizarreries... Figurez vous que SFR injecte dans le code, fort probablement par le biais de proxys des choses qui n'ont pas à s'y trouver dans la définition que nous nous faisons d'un Internet propre et neutre qui se respecte. Voici le code source d'un site gouvernemental syrien.

Au détour de quelques surfs sur une connexion 3G SFR, votre serviteur a eu une fort désagréable surprise. En affichant le source HTML de plusieurs sites web, je suis tombé sur quelques bizarreries... Figurez vous que SFR injecte dans le code, fort probablement par le biais de proxys des choses qui n'ont pas à s'y trouver dans la définition que nous nous faisons d'un Internet propre et neutre qui se respecte.

Voici le code source d'un site gouvernemental syrien. On y trouve 2 choses curieuses :

  • deux IP suivies du folder /bmi/ puis reprenant ensuite l'URL de la cible
    sfr
    sfr

Ces deux adresses en 91.68... appartiennent à l'AS de SFR ... mais que font elles donc dans le code source d'un site gouvernemental syrien ?!

  • une IP 1.2.3.4 (un range réservé non alloué, suivi du folder /bmi/ avec un javascript dedans ... que voici... d'ailleurs c'est amusant on y trouve même une rule spéciale Youtube !
} else if (document.location.href.match(/^http:\/\/www\.youtube\.com\/embed/)) {

        e = document.getElementById("player");

        if (e && (e.innerHTML.match(i) || !e.innerHTML.match(s))) {

            yt.config_.PLAYER_CONFIG.args.fexp = "904448," + yt.config_.PLAYER_CONFIG.args.fexp;

            e.innerHTML = "";

            yt.embed.writeEmbed()

        }

    } else if (document.location.href.match(/^http:\/\/www\.youtube\.com\/user\//)) {

        var h = document.getElementById("movie_player-flash");

        if (h && h.parentNode.className.indexOf("player-container") > -1) {

            n = h.parentNode;

Des choses semblables ont été observées chez T-Mobile : http://security.stackexchange.com/questions/9368/mobile-carrier-javascript-injection

Nous avons donc procédé à une vérification sur d'autres sites... et on se doutait bien que Bachar Al Assad n'hébergeait pas ses sites web dans un CDN de LDCOM/SFR... Bingo :

 

Nous avons tenté d'afficher le source de ces mêmes pages, depuis la même connexion, mais cette fois derrière notre VPN maison :

 

Le constat est donc sans appel, SFR modifie bien , surement par le biais de proxys, le code HTML des pages que vous visitez. Ceci appelle donc maintenant plusieurs questions :

  • Pourquoi un FAI modifie t-il le source des pages que je visite ? Rien ne devrait justifier ceci ...
  • A quoi servent ces proxys ? S'agit t-il d'un cache sur des fichiers statiques ?
  • Quelles données sont collectées par SFR pendant nos surfs en 3G  ?
  • Pouvons nous faire confiance à un FAI qui modifie les pages que nous visitons ? ... pour ma part la préponse est NON !

En attendant des réponses à ces questions, sortez couverts, VPN obligatoire pour tout le monde si vous souhaitez surfer tranquilles.

Edit :

Et visiblement, c'est pas nouveau ! : http://www.journaldulapin.com/2011/10/04/quand-sfr-degrade-vos-images-en-3g-genre-a-la-truelle/ ... thx @Bortzmeyer.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée