La cybercensure iranienne vue de l’intérieur à la veille des élections présidentielles… Powered by Cisco Systems®

ciscofuckIl y a quelques jours, nous vous parlions de la situation de la censure Internet en Iran à la veille des élections. Vous aurez probablement compris que notre petite équipe suit assez attentivement (FR) ce qu’il se passe en ce moment dans ce pays (US). Pour ce faire, même si la rédaction de Reflets n’a pas les moyens de dépêcher des reporters sur place, elle dispose de moyens autrement plus efficaces pour se rendre compte de visu de la situation sur le plan strictement technique. C’est ce que nous avons fait, une fois de plus.

Le Guardian se fait aujourd’hui l’écho d’une cybercensure des sites web traitant de politique et surtout des candidats aux élections présidentielles. Le site pointe du doigt une censure par mots clés, ce qui nous semble partiellement vrai. Nous constatons de notre côté du pur blocage IP ainsi que du blocage DNS. Une cybercensure assez chaotique pas exclusivement centralisée, mais qui ne fait que la rendre plus dure à analyser.

Exceptionnellement, nous n’allons pas vous faire de longs discours, tout simplement vous apporter des faits, bruts de fonderie sous la forme d’un exemple.

  • Commençons par nous connecter sur une adresse IP iranienne, pour voir Internet, comme un iranien.
  • Nous lançons ensuite un bête ping sur le site Presstv.ir (parfaitement accessibles depuis une IP française) un site de presse généraliste iranien qui couvre en ce moment assez naturellement les élections présidentielles. On constate que cette requête n’aboutie pas.
  • Nous lançons ensuite un traceroute pour tenter de comprendre où ça bloque. Le dernier rebond se fait sur l’IP 212.218.64.50

blocking

  • Identifions maintenant cette adresse IP

cisco

Il s’agit pour cet exemple d’un routeur de fabrication américaine, un Cisco, sur l’AS 12880 qui concentre à lui seul tout ce que les autorités iraniennes souhaitent conserver sous haute surveillance.

% Information related to '217.218.64.0/24AS12880'
route: 217.218.64.0/24
descr: DCI-Route
origin: AS12880
mnt-by: AS12880-MNT
source: RIPE # Filtered

On notera que ce Cisco semble d’ailleurs tout frais ;)

Capture d’écran 2013-06-01 à 12.03.24

Evidemment, le site du Guardian est également bloqué :

PING guardian.co.uk (77.91.248.30): 56 data bytes
--- guardian.co.uk ping statistics ---
18 packets transmitted, 0 packets received, 100% packet loss

Le Monde aussi d’ailleurs

XM.v5.3.2# ping lemonde.fr
PING lemonde.fr (195.154.120.129): 56 data bytes
^X
--- lemonde.fr ping statistics ---
7 packets transmitted, 0 packets received, 100% packet loss

Depuis une autre box toujours située en Iran :

XS5.ar2313.v3.6.4703.101129.1111# ping presstv.ir
PING presstv.ir (217.218.67.241): 56 data bytes
^X
--- presstv.ir ping statistics ---
14 packets transmitted, 0 packets received, 100% packet loss

Tandis que google.com passe

XS5.ar2313.v3.6.4703.101129.1111# ping google.com
PING google.com (173.194.113.167): 56 data bytes
64 bytes from 173.194.113.167: icmp_seq=1 ttl=43 time=145.0 ms
64 bytes from 173.194.113.167: icmp_seq=2 ttl=41 time=147.2 ms
64 bytes from 173.194.113.167: icmp_seq=3 ttl=43 time=148.4 ms
64 bytes from 173.194.113.167: icmp_seq=4 ttl=43 time=143.5 ms

Mais toujours pas Twitter ni Facebook qui font l’objet d’un filtrage assez différent et qui échoue sur une IP locale de l’AS : 10.10.34.34 comme nous l’avions observé ici.

XS5.ar2313.v3.6.4703.101129.1111# ping facebook.com
PING facebook.com (10.10.34.34): 56 data bytes
^X
--- facebook.com ping statistics ---
13 packets transmitted, 0 packets received, 100% packet loss
XS5.ar2313.v3.6.4703.101129.1111# ping twitter.com
PING twitter.com (10.10.34.34): 56 data bytes
^X
--- twitter.com ping statistics ---
9 packets transmitted, 0 packets received, 100% packet loss
Twitter Facebook Google Plus email

39 thoughts on “La cybercensure iranienne vue de l’intérieur à la veille des élections présidentielles… Powered by Cisco Systems®”

  1. Si je comprend bien nous avons donc un gouvernement us parmi d’autre qui dit combattre la censure et défendre la liberté d’expression mais qui fournit les outils via une société privé….

    1. Non. les états laissent la sécurité aux sociétés privées.
      les états ne font plus que de la morale et du maintien de l’ordre.

      N’espérez plus jamais voir disparaître la Guerre ou l’insécurité, car ce sont devenus des Marchés privés extrêmements lucratifs.

      lol?

    2. Mouais. Il s’agit juste de routeur comme il y en a des millions dans le monde, et sur laquelle il y a une règle pour dropper les paquets à destination des certaines IP qui dérangent le pouvoir.

      Cisco est sans doute la société qui vend le plus de routeur au monde.
      Et se trouve être américaine.

      De là à en déduire que le méchant gouvernement des EUA fournit malicieusement du matériel dans le but d’aider la censure, il faut avoir un gros biais de sa vision du monde.

      C’est juste un gouvernement (ou ses sbires, plus probablement) qui utilise un outil très commun, pour un usage « classique ».

      1. Je me lève et je l’approuve également.
        Autant on est bien d’accord que des systèmes de surveillance, DPI & co de chez Bull / Amesys devraient être considérés comme des armes de guerre.
        Autant là il s’agit de routeurs « classiques » qui sont à leur place sur le réseau mais configurés pour filtrer certains contenus. Ni la société qui a vendue l’équipement, ni le gouvernement US ne sont responsables de quoi que ce soit … par contre les dirigeants Iraniens qui ont demandés ce filtrage, si !

        1. C’est là où vous vous trompez.

          – Oui, ce n’est pas le gouv US qui fournit aux mollahs via une société privée.
          – Ce sont des sociétés privées qui vendent des outils a usage dual sans se poser de questions parce que tout le monde est gagnant (financièrement)
          – La production d’outils à usage dual pose question.
          – Ces routeurs ne sont pas utilisés en mode « classique », justement. C’est bien ce qui pose problème.
          – Nous avions développé longuement ces questions de responsabilité des vendeurs de stylos avec Amesys. C’est exactement la même chose, même si le but primaire est moins évident (méchant) dans cette configuration-ci.

          1. Donc c’est quoi la solution ? Arreter de vendre des routeurs a l’Iran ? D’un coté c’est sur que si on fait en sorte qu’ils n’aient plus de routeur, la question de la censure ne se posera plus …

          2. C’est un poil plus fin que ça. Quand on vend à un pays un chassis qui fait 120kg à vide, que ce client l’équipe avec des modules manifestement dédiés à la surveillance, en demandant un support manifestement dédié à la surveillance, la moindre des choses est de commencer à se poser des questions d’ordre éthique.
            C’est une erreur de penser qu’un équipementier ne fait que « vendre des routeurs ».

          3. « technologie duale » : C’est bien là que l’on est pas d’accord. Pour Les Eagle et les proxys Bluecoat, c’est clairement le cas.

            Pour un routeur qui fait du simple filtrage IP, juste non. N’importe quel admin réseau ayant des doigts peut taper « ip route 195.154.120.129 255.255.255.255 Null0 » sur la console de son routeur Cisco pour nullrouter toutes les IPs qu’il veut, et personne ne pourra jamais empêcher ça.

            Pareil pour le filtrage DNS (qui est d’autant plus facilité que même BIND propose des mécanismes standardisés pour le faire : cf http://www.bortzmeyer.org/rpz-faire-mentir-resolveur-dns.html et que même sans ça, c’était très simple à mettre en place.)

    3. « business is business », l’argent n’a pas d’odeur, c’est tout :)
      Après, dans l’absolu, les états unis vendent du matériel, ils ne sont pas « responsable » de l’usage qui en sera fait. D’autant que le blocage d’IP est directement lié au fonctionnement du routage proprement dit, c’est en natif. Là où les iraniens n’ont pas été malins c’est qu’ils auraient pu monter une société nationale, ou privée sous capitaux partiellement publics et équiper leurs réseaux nationaux.
      Enfin je dis ça, la France a bien râlé pour refuser l’intégration de routeurs chinois dans son coeur de réseau (http://blogs.lesechos.fr/intelligence-economique/faut-il-se-mefier-des-routeurs-chinois-a12001.html)

      Après on peut prendre le problème à l’envers: les ricains clament haut et fort que l’Iran « ceylemal », ok, mais ils vendent du matériel pour le coeur du réseau iranien, soit.
      Je serais les iraniens, je m’inquièterais que les américains puissent avoir « potentiellement » la main sur le coeur du réseau iranien et pouvoir faire ce qu’ils veulent avec le réseau. Qui nous dit qu’il n’y a pas une backdoor sur les cisco? Qui nous dit que les routeurs ne renvoient pas des infos aux USA?
      Le point avait été évoqué sur reflets concernant amesys et une possible volonté française d’avoir à moindre frais un réseau d’information étendu sur plusieurs pays de la Méditerranée et du Moyen Orient.

      Il serait intéressant de voir si, d’une façon ou d’une autre, cisco ne ferait pas « double jeu ».

      1. sans être sur de moi à 100%,l’iran fait partie des pays sous embargo US (avec la corée du nord, syrie, cuba et le soudan). Donc à première vu ce n’est pas cisco qui a vendu en direct mais un sous traitant dans un autre pays tampon (avec un accord officieux us ou pas).

        1. Tu as raison , même si l’embargo US se relâche sur les produits technos (de manière très officielle).
          Mais voilà, il y a bien des produits qui ne devraient pas s’y trouver comme du matos HP dont je vous parlerai peut être si les réponses d’HP ne me conviennent pas.

          1. Mais bloquer du matériel comme ca a destination de l’Iran, ca ne porterai pas plus préjudice aux iraniens eux même qu’au régime ?

          2. Bloquer la vente de matériel de surveillance et de censure à des régimes qui emprisonnent des blogueurs pour leurs opinions politiques n’a, à ma connaissance, jamais nuit à une population… mais je peux me tromper ;)

          3. Un routeur cisco n’est pas du materiel de blocage ou de surveillance a priori. Mais effectivement en n’annoncant pas certaines routes ou en faisant en sorte que ca drop les paquets pour certaines routes, ca le devient. C’est pas la voiture qui est dangereuse, c’est celui qui est saoul au volant a 200km/h en ville.

          4. On ne devrait pas vendre de voiture à un alcoolique notoire récidiviste de l’excès de vitesse, pour continuer dans ta direction…

          5. Tu voudrais quand meme pas filer au concessionnaire les fichiers de la police de chaque client potentiel quand meme, liberticide ^^

  2. Ou alors on peut aussi conclure que l’Iran, comme 90% des pays, utilise cisco pour son backbone IP, parce que Cisco est un leader mondiale sur le segment et que tout les pays n’ont pas les moyens de reinventer la roue et de développer ses propres marques de routeurs…

    1. Pourtant il me semble que linux est un système adapté au rôle de routage (à voir si dans un coeur de réseau ça convient).
      Au pire il y a ça: http://www.mikrotik.com/index.html
      Cette boite propose un système pour routeur vendu nu (sans matériel) ou avec un matériel « à la carte » (cf les rubiques « made for Microtik » et « our customers »)

      Question ouverte aux experts linux: Serait-il sérieusement envisageable de concevoir une infrastructure nationale avec des routeurs fonctionnant sous linux?

      1. N’importe quel ordinateur peut effectivement servir de routeur, mais si on paye des routeurs Cisco a des prix d’or il y a bien une raison, c’est qu’un routeur (cisco, juniper, etc), fait au niveau hardware ce qu’un Linux fait en software. Pour traiter les qq paquets d’un réseau d’entreprise (petite entreprise), c’est effectivement gérable de se servir d’un routage software, mais pour des cœurs de réseau ou on doit gérer des centaines de milliards de paquets a la seconde, on ne peut pas se passer de matériel spécifique, comme les ASICs de cisco par exemple.

      2. Hello Yakumo,
        Tu ne crois pas si bien dire …
        Les mikrotik sont justement les modems/routeurs les plus populaires en iran (comprends les plus distribués par les ISP).
        Après impossible de te dire s’il s’agit de firmware customs 4 iran’s ISP.

  3. Seriously ?

    Quelqu’un a déjà  ping lemonde.fr depuis la France ? Ah mince ça répond pas… C’est normal, c’est un site web destiné à  être consulté en HTTP(S), il peut donc ne pas répondre en ICMP sans que sans soit bloquant. Donc même si lemonde.fr doit quand même être bloqué, faudrait faire un test pertinent.

    A part, chez des gens vraiment très bizare, j’ai jamais vu un réseau d’envergure sans matériel d’un grand équipementier américain. Cisco a 3/4 du marché donc c’est normal d’en retrouver sur les réseaux Iranniens.

    Mais bon le pire c’est pas ça, le pire c’est que le routeur montré du doigt est le dernier qui répond. Il y a surement un routeur juste derrière qui est celui qui coupe le flux (on parle de DROP dans la langue de Sheakspeare) et qui n’est donc pas visible dans le traceroute. C’est plus que probable que ça soit pas le routeur Cisco qui fasse la censure mais l’équipement réseau suivant.

    Ca fait quand même beaucoup d’erreurs pour un article qui porte des accusations aussi graves.

      1. Quelle réponse pourrave face à un commentaire qui me parait pourtant soulever des points hyper importants… Du grand n’importe quoi et un énorme manque de professionnalisme aussi bien pour l’article que pour la réponse.

        1. Je noterai qu’effectivement pour le monde il a raison.Ce qui ne retire rien au fait que depuis 6 ip iraniennes differentes, le site presstv.ir ne ping pas.
          Alors qu’il ping depuis la france es usa, la suede et quelques autres pays.
          de même pour le site du guardian.
          Et ma réponse, ne t’en déplaise répond à un tweet du monsieur, bref une private joke qu’il a très bien compris.

          1. Euh.. J’ai dû rater un épisode, c’est quoi le rapport entre le ping qui répond pas et l’http? Je vois bien quelques raisons qui pourraient expliquer que lemonde.fr ne pong pas, mais aucune n’implique l’http/s ? (ni même le tcp)

    1. Je réponds à ce commentaire car c’est via le tweet de Majinboo que je suis arrivé sur cet article pour une question à Bluetouff (question sérieuse, pas de sarcasme de ma part) : vu que l’on peut faire un routeur / parefeu à partir de n’importe quoi, aurait-il fallu blâmer Linus si 212.218.64.50 t’aurais retourné un OS Linux ?

      1. Encore une fois c’est un peu plus compliqué que ça. Cet article comporte bien une erreur que je reconnais volontiers. Cependant, j’insiste sur le fait que sur ces plages assez rigolotes, on trouve 4 routeurs de service ZTE et surtout 2 HP H3C SR8808 equipés de modules firewall / proxy / webcache
        Ça ressemble à ça
        http://www.raymarinc.com/OldWeb/network-services/HP_Rtr_Core.shtml
        http://h17007.www1.hp.com/docs/whatsnew/hirono/HP-Networking-VPN-Firewall-Module-Family-Data-Sheet-4AA3-7162ENW.pdf
        http://www.hp.com/hpinfo/newsroom/press_kits/2011/InteropLasVegas2011/Change_The_Rules.pdf
        …quoi que vous en pensiez, et particulièrement sur les plages IP de la TIC qui s’est déjà illustrée avec Nokia Siemens là bas, ça n’a rien de commun dans un réseau propre et neutre.

        En outre nous avons contacté HP qui ne semble pas spécialement pressés de répondre à nos questions. Ces derniers nous ont redirigé sur leur agence RP.

        1. Effectivement, c’est beaucoup plus inquiétant comme matériel qu’un routeur qui nullroute une adresse.

          Le reproche (qui va avec) : pourquoi ne pas avoir d’abord parlé des vrais infos pertinentes dans l’article ? Ça aurait évité le déluge de commentaires visant à le rectifier (à raison dans son état actuel), et ne peut que semer le doute dans la tête du lecteur occasionnel…

  4. Ou l’on « découvre » qu’il y a internet, et des intranets partiellement connectés à la toile mondiale, rien de bien surprenant. Reste à savoir si c’est vendu aux iraniens pour de l’internet ou si c’est vendu pour de l’intranet ? Eux seuls pourront juger si on leur censure l’accès internet avec ce que les fai iraniens leur vendent.

  5. Thx Bluetouff !

    Sinon, juste pour chipoter… c’est le « pas de grands discours », je comprends, mais…à force de montrer que les Etats autoritaires (et plus si affinités) utilisent Internet pour de la censure (et plus si affinités, bis), on en vient à l’amer constat qu’utiliser le Internet pour censurer sa population = normal pour un pays autoritaire. Et comme ça de fil en aiguille, on risque d’arriver à tolérer qu’un Etat puisse, pour une raison ou pour une autre, trafiquer le Internet pour faire ce qu’il veut (1)… A condition de ne pas être pris la main dans le sac. Du coup, ce qui est rassurant avec la censure iranienne, c’est qu’elle se voit. D’ailleurs, elle se voit « facilement », ou t’en as vraiment chié + + pour découvrir ça ?

    Toute proportion gardée, le lièvre que tu as levé sur SFR et son tripatouillage m’inquiète pas mal parce que, même si c’est sans grosse conséquences sur l’utilisateur lambda, c’est assez discret (enfin c’est ce qu’il m’avait semblé) ! Mais là, on s’éloigne de la censure à proprement parler.

    (1) D’un autre côté c’est un bon début si l’utilisateur de base comprend qu’Internet n’est pas transparent, et qu’il doit plus qu’ailleurs exercer son esprit critique…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *