Journal d'investigation en ligne et d'information‑hacking
par bluetouff

L'Arabie Saoudite cherche à surveiller #WhatsApp et #Viber (et bien d'autres...)

Ce n'est pas la première fois que nous voyons passer des alertes concernant deux services particulièrement populaires dans les pays arabo musulmans : Viber et WhatsApp. Elles y sont par exemple largement utilisées par des opposants politiques, des journalistes citoyens (...) ces deux applications permettent de communiquer en mobilité en utilisant les forfaits de données classiques, sans coût additionnel et jouissent dans ces pays d'une assez bonne réputation.

Ce n'est pas la première fois que nous voyons passer des alertes concernant deux services particulièrement populaires dans les pays arabo musulmans : Viber et WhatsApp. Elles y sont par exemple largement utilisées par des opposants politiques, des journalistes citoyens (...) ces deux applications permettent de communiquer en mobilité en utilisant les forfaits de données classiques, sans coût additionnel et jouissent dans ces pays d'une assez bonne réputation.

L'insécurité de ces deux applications est un thème que nous avions notamment abordé au 4M du Caire.

Ce matin sur Twitter, le professeur Kavé Salamatian se faisait l'échos de cet article assez effarant.

Moxie Marlinspike, un hacker de talent, ancien responsable de la sécurité de Twitter, à qui nous devons entre autres SSLTrip (pour opérer des attaques par Man in The Middle), signale que les autorités saoudiennes, connues pour exercer une surveillance pro-active d'Internet et disposant évidemment de gros moyens pour s'offrir de puissants dispositifs, l'ont contacté pour que ce dernier leur indique ou leur développe une solution d'interception des communications portant sur Whatsapp et Viber (mais aussi sur Twitter ou Line...).

Mobily, l'opérateur qui contacte Moxie Marlinspike cherche à mettre en place ce que nous avons déjà pu observer en Syrie avec la complicité de BlueCoat ou en Tunisie avec la complicité de Microsoft : un Man In The Middle, ce afin de pouvoir lire le contenus des messages et ainsi opérer une surveillance accrue (accéder aux contenus des messages normalement chiffrés) ou un blocage ciblé. Pour y parvenir, et ainsi répondre à la demande du gouvernement, Mobily semble prêt à peu près tout et n'importe quoi, jusqu'à l'achat de 0day sur SSL, le protocole le plus utilisé pour la sécurisation des échanges sur Internet.

L'opérateur saoudien, le second opérateur le plus important du pays, donne même un peu plus detail, il souhaite contraindre une autorité de certification saoudienne ou des Emirats Arabes Unis, à produire un vrai faux certificat pour opérer à la place de ceux servis par les applications ciblées. Mobily, comble du cynisme, fait même la promotion de WhatsApps avec deux "packages WhatsApp », attendu qu'il dispose déjà d'une solution d'interception efficace pour ce logiciel.

C'est après que ça commence à faire froid dans le dos. Au fil des conversations, Moxie Marlinspike relate que Mobily dispose déjà d'un prototype fonctionnel d'interception de WhatsApp et que l'opérateur a été très surpris de la simplicité et de l'efficience de ce dispositif. En clair, WhatsApp présente un niveau de sécurisation assez faible.

Devant le refus de Moxie Marlinspike, Yasser D. Alruhaily, le responsable de sécurité du système d'information de Mobily joue la carte, classique, de la menace terroriste.

I know that already and I have same thoughts like you freedom and respecting privacy, actually Saudi has a big terrorist problem and they are misusing these services for spreading terrorism and contacting and spreading their cause that’s why I took this and I seek your help. If you are not interested than maybe you are on indirectly helping those who curb the freedom with their brutal activities. 

En Arabie Saoudite, ou la pratique d'une autre religion que l'Islam est interdite, la notion de terrorisme, c'est quelque chose d'assez particulier. Cette semaine, deux hommes ont par exemple été condamnés à de lourdes peines de prison et à des centaines de coups de fouet pour avoir encouragé une femme à se convertir au christianisme.

Moxie Marlinspike ne manque d'ailleurs pas d'ironiser sur le côté terrorisant d'un retweet qui menacerait les libertés fondamentales en Arabie Saoudite et souligne qu'il serait lui même assimilé à un terroriste en refusant de les aider.

Les questions ensuite soulevées par Moxie Marlinspike devraient raisonner en boucle dans la tête de tous les hackers. Les politiques, eux aussi devraient s'interroger sur la légalité de la vente de 0day ou de dispositifs de surveillance de masse attendu qu'ils servent plus à violer les droits de l'homme qu'à protéger les états. Le débat dans la communauté n'est pas nouveau, il remonte au début des années 2000 où le mouvement AntiSec s'interrogeait sur le bien fondé du Full Disclosure avançant qu'au final, celui ci profitait surtout à l'industrie de la sécurité informatique et de la surveillance. Et Moxie Marlinspike de rappeler qu'il n'y a pas de Black Hats, de White Hats... seulement des Green Hats, la couleur de l'argent. L'argent, une véritable perversion dans la communauté hackers.

Malheureusement, les propos de Moxie Marlinspike font largement écho à ce que nous avons observé en Tunisie, en Libye, en Egypte, en Syrie, a Bahreïn, au Yemen, au Maroc ou au Qatar (...), où des entreprises françaises, américaines, allemandes ou italiennes s'assoient très clairement sur toute éthique au nom du profit, pourvu qu'on leur glisse le mot magique "terrorisme" entre deux liasses de cash. Et quand un salarié fait preuve d'un tant soit peu d'éthique dans ce milieu, c'est la porte assurée.

Enfin, la conclusion de Moxie Marlinspike est sans appel : si vous vous rendez en Arabie Saoudite comme dans de nombreux pays, n'utilisez pas Viber, WhatsApp ou ce genre de messageries à la sécurité hasardeuse sans avoir conscience qu'elles sont interceptées. De notre côté, nous ne serions absolument pas étonnés d'apprendre qu'Amesys, rebaptisée Advanced Middle East System pas un cynique tour de passepasse, a répondu ou répondra aux demandes de Mobily.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée