Journal d'investigation en ligne et d'information‑hacking
par bluetouff

ZTE et HP unis pour un halalternet au pays des mollahs

Quand nous écrivions un premier article sur l'Iran, nous avions déjà identifié plusieurs matériels qui avaient attiré notre attention. Nous avons donc assez naturellement posé quelques petites questions aux concernés, nous allons d'ailleurs vous parler de leurs réponses dans un autre article.

Quand nous écrivions un premier article sur l'Iran, nous avions déjà identifié plusieurs matériels qui avaient attiré notre attention. Nous avons donc assez naturellement posé quelques petites questions aux concernés, nous allons d'ailleurs vous parler de leurs réponses dans un autre article. HP n'a, à l'heure actuelle, pas daigné répondre à nos questions, ce dernier semblant un peu plus préoccupé par le support qui publiera les informations que nous avons collecté, que par le fait nous apporter des réponses claires sur l'usage qui est fait de ce matériel en Iran.

Parmi les équipements que nous avons débusqué, il y a tout d'abord deux routeurs HP H3C SR8808 équipés de cartes modules de firewalling et proxy / web caching.  Ces routeurs sont un peu particuliers, car on met dedans, un peu ce que l'on veut. Ils proposent 8 slots disponibles que l'on agrémentera de modules, en fonction des besoins. Ainsi, en fonction des modules qui les équipent, un fournisseur de matériel peut avoir une idée assez précise de l'usage qui va en être fait.

  • Le Press Kitpublié pour l'Interop de Las Vegas
  • La documentation de la bête : 1, 2, 3, 4, 5.

Jusque là, il n'y a rien d'étonnant à trouver deux core routeurs chez un ISP allez vous nous objecter... oui rien d'étonnant. Rien, sauf 3 points...

  • Nous avons identifié sur les deux HP H3C SR8808 un module dédié à de l'Application layer content filtering et du Application Specific Packet Filter (ASPF)... en clair, du filtrage applicatifVoici la documentation de ces modules.
PORT STATE SERVICE VERSION

21/tcp open ftp vsftpd 2.0.8 or later

22/tcp open ssh?

23/tcp open telnet HP H3C SR8808 SecBlade firewall module telnetd

Mis bout à bout, avec le comportement des routeurs Cisco observé ici... ça commence à faire ce que l'on appelle un sérieux faisceau de présomptions.

Les 4 petits copains chinois

Pas bien loin, toujours sur une plage de la TIC, quelque part dans l'AS 12880, on trouve 4 ZTE, et pas n'importe lesquels. Leur identification a été un peu plus délicate, ces machines sachant se faire assez... discrètes. C'est une curiosité qui a tout d'abord attiré notre attention. Un scan nous remonte du Fortinet, avec un certificat SSL au nom de ZTE.

443/tcp open   ssl/http Fortinet VPN/firewall http config

| ssl-cert: Subject: commonName=US16123911600106/organizationName=ZTE Ltd.

L'explication est toute bête : le script d'authentification, le login.js est un script de Fortinet.

C'est en établissant une connexion telnet sur l'une des 4 machines que nous commençons à en savoir un peu plus sur leur nature :

Le  zxss10b200 c'est plutôt une belle bête qui promet joie, amour et félicité éternelle aux mollah grâce à des fonctionnalités qui font rêver (blacklists, QoS, Web caching ...). Voici une (assez mauvaise) traduction Google translate de cette page qui en décrit assez sommairement les fonctionnalités.

Les technologies de ZTE sont assez connues pour gérer un peu plus que le réseau, elles analysent aussi le comportement des utilisateurs :

  • Intelligent Deep Packet Inspection Gateway xGW (inbuilt DPI)
  • Dynamic Policy and Charging Control (PCRF/SPR)
  • Intelligent User Behavior Analysis System (UBAS)
  • Mature Online/Offline Charging System (OCS/OFCS)

Nous parlons donc bien de 4 routeurs pouvant gérer jusqu'à 32Gbps de flux chacun, utilisant du Deep Packet Inspection, fort probablement, à d'autres fins que la bonne gestion d'un réseau neutre et fonctionnel... mais ce ne sont là que pures spéculations, qui oserait suspecter la TIC de vouloir censurer et surveiller l'Internet iranien ?

Mais au fait la TIC... c'est quoi ?

La TIC, ou Telecommunication Infrastructure Company est un fournisseur d'accès un peu particulier. C'est par exemple elle qui a l'exclusivité de tout ce qui rentre et sort d'Iran en terme de trafic. Comme l'explique cet article, la TIC est une entreprise nationalisée, la seule habilitée à réguler le trafic des 45 millions d'internautes en Iran. La TIC est en ce sens la seule habilitée à opérer une surveillance active sur le réseau, elle s'est dans le passé illustrée aux côtés de Nokia Siemens.

Nokia Siemens, ZTE, Blue Coat, HP et Cisco... l'infrastructure de surveillance n'a pas de nationalité. La TIC construit son infrastructure avec un souci de contrôle et de surveillance manifeste. Bien que les technologies utilisées soient duales, nous avons de forts soupçons, et c'est peu de le dire, sur l'usage qui en est fait par la TIC.

Certains de ces équipementiers, quand ils ne fournissent pas des solutions sur mesure, ne peuvent non plus ignorer la manière dont ils équipent les chassis ou les options de configurations qui sont demandées par la TIC.

"Mahmoud Tadjallimehr, a former telecommunications project manager in Iran who has worked for major European and Chinese equipment makers, said  the ZTE system supplied to TCI was "country-wide" and was "far more capable of monitoring citizens than I have ever seen in other equipment" sold by other companies to Iran. He said its  capabilities included being able "to locate users, intercept their voice, text messaging ... emails, chat conversations or web access."'... (source)

Halalternet ?

La TIC est aussi connue pour être l'organisme supposé à l'origine du halalternet, ou l'intranet Iranien. L'Iran, premier pays du moyen-orient à avoir été connecté à Internet affiche maintenant sa volonté de s'en déconnecter, et ainsi se préserver des octets impurs. Sur cet "intranet", tout serait conforme à la vision de l'Islam que se font les mollah, les "halaternautes" seraint identifiés, surveillés et surtout, tenus à l'écart des réseaux sociaux qui véhiculent ce vent de liberté un peu trop propice aux révolutions... le tout sous l'oeil bienveillant d'une cyber police dotée de gros moyens.

Nous tempèrerons un peu cette vision "d'intranet", par le fait que sans avoir à se déconnecter réellement d'Internet, l'Iran semble plutôt s'orienter vers un Internet ultra surveillé et activement filtré. A l'origine de cette vision d'un Iran déconnecté, il y aurait peut être une agence de presse bien connue chez nous qui se serait un peu fait balader.

Mais quand on y pense, un halalternet, en temps d'élections, c'est un truc assez sympa quand on souhaite contrôler toute forme d'opposition politique. Il ne faut donc pas chercher bien loin pour se rendre compte de l'important rôle que peut jouer la TIC sur la vie politique du pays.

Si l'Iran souhaite poser des frontières à Internet, la surveillance qu'elle exerce pour préserver la révolution islamique, n'a elle, pas de frontière.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée