#OpSyria : Bluecoat au coeur d’attaque MITM de grande envergure ?

Devant l’avalanche de preuves remontée par le groupe Telecomix, la société BlueCoat a finalement admis que certaines de ses machines étaient présentes en Syrie, et qu’elles étaient utilisées pour censurer le Web. Le débat est-il
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

29 thoughts on “#OpSyria : Bluecoat au coeur d’attaque MITM de grande envergure ?”

  1. « auX Etats-Unis » et non pas « au Etats-Unis »

    « quatorze proxy BlueCoat commandées », ‘proxy’ est féminin ?

    « des proxy » ou « des proxys » (l’un ou l’autre plusieurs fois dans le texte) ?

    « Les informations contenues dans ces logs sont décritEs » et non pas « Les informations contenues dans ces logs sont décrits »

    « Lorsque vous vous connectez » et non pas « Lorsque que vous vous connectez »

    « les certificats ne sont pas signés » et non pas « les certificats ne sont pas signéEs »

    « sans problème » et non pas « sans problèmeS »

    « vous devriez commencer à être troubléS » et non pas « vous devriez commencer à être troublé »

    « Les BlueCoat syriens seraient-ils réellement capableS » et non pas « Les BlueCoat syriens seraient-ils réellement capable »

    « SeulS des organismes internationaux de confiance » et non pas « Seul des organismes internationaux de confiance »

    « Sans certificat SSL délivré » et non pas « Sans certificatS SSL délivré »

    « pas de trace » et non pas « pas de traces »

    Je finirai plus tard ;)

    Amicalement :)

      1. Je t’en prie :) J’apprécie trop votre travail pour laisser toutes ces fautes ; c’est important pour crédibiliser vos articles.

        Je continue donc,

        « pas d’autre signe » et non pas « pas d’autreS signeS »

        « les proxys BlueCoat sont prêtS, » et non pas « les proxys BlueCoat sont prêt , » (le ‘S’ à ‘prêts’ et pas espace avant la virgule)

        « Serait-il possible que… » -> donc un « ? » à la fin de la phrase.

        « dès que » et non pas « dés que »

        « n’a-t-elle été patchée » et non pas « n’a-t-elle été patché »

        « autorités » et non pas « autHorités »

        « et aurait encore accès à l’autorité » et non pas « et aurait encore à l’autorité »

        « achat de certificats valide » et non pas « achat de certificats valideS » non ?

        « issu de données exfiltrés » et non pas « issuS de données exfiltrés », enfin je pense…

        « de nombreuses questions restent encore EN suspens » et non pas « de nombreuses questions restent encore suspens »

        ‘Man in the Middle » : petit soucis de guillemets

        « les autoritéS de certifications » et non pas « les autorité de certifications »

        « leurS structures centralisées » et non pas « leur structures centralisées »

        « principes universels nécessaireS » et non pas « principes universels nécessaire »

        « Etats-Unis » et non pas « Etats Unis »

        Amicalement

  2. (Je suis conspirationniste mais)
    N’est-il pas permis d’imaginer que des passerelles du type de celles de BlueCoat ne puisse pas directement intégrer, par défaut, un certificat valide fournit par les autorités de certification à BlueCoat ou directement par le site tiers (Microsoft, Fakebook …) ?

    Owni publiait la présence d’un Glint français (pas vu ici) ; est il alors imaginable que celui-ci soit équipé de ces mêmes certifs ?

    J’ai vu une autre coquille pas remontée ci-dessus (mais c’est pas là l’important – et je troll pas ceux qui les remontent, ça participe à la crédibilité d’un article à mes yeux) : il manquait un mot comme « accès » lorsque tu écrivais un truc dans le genre « avoir * aux logs syriens », mais je ne l’ai pas retrouvé, sorry :)

    1. Non je pense qu’il est tout à fait improbable que les plateforme type « Bluecoat » ou « Amesys » embarquent ces certificats par défaut. Ces certificats valent leur pesant d’or et Bluecoat devrait alors sérieusement revoir ses tarifs à la hausse :)

      Par contre ces certificats pourraient (dans une théorie conspirationniste) devenir des carottes géopolitiques fort attrayantes.

  3. Super article !
    Par contre, et mis a part les quelques fautes d’orthographe vous parlez d’une attaque signalée en 2005 par EFF deux fois alors que dans le résumé chronologique elle semble apparaitre en mai 2011. Ce sont deux signalements differents ou une erreur de votre part ?

  4. Cette histoire de certificats est bien inquiétante.
    Elle me rappelle celle de Microsoft en Tunisie, si ma mémoire est bonne, cela remonte grosso modo à l’époque où Fabrice Epelboin est passé de RWW à Reflets, non ?

    Petite question (je ne suis pas technicien) : cela impacte-t-il la confiance qu’on peut faire à TOR ?
    Si oui, Telecomix ne regrette-t-il pas, retrospectivement, d’avoir incité les syriens à adopter TOR (ou suis-je à côté de la plaque) ?

    merci d’avance.

  5. Hello,

    Juste pour info on a des Bluecoat ici au boulot et on ne fait pas d’interception SSL.
    En revanche on passe bien par le proxy pour le SSL (CONNECT) et le fqdn (tcp://mysite.fqdn:443) ainsi que le useragent sont bien visibles dans les logs. Mais bien sur l’URI ne l’est pas…

    Donc je me demande si vous ne vous êtes pas fourvoyé pour le coup…

    1. Je suis très interressé à pouvoir avoir plus d’informations à ce sujet. Tu peut me joindre sur le chan de #reflets ou par mail.

      Nous sommes allé aussi loin que nous pouvions et nous n’avons pas réussi à lever toute les incertitudes sur ces lignes de logs.

      L’article a été écrit avec de nombreuses pincettes, et dans le but de confronter nos observations.

      Merci pour la remontée d’infos.

  6. Un petit point technique.

    1/ Soit un client A qui se connecte à un site B https.
    un intermédiaire passif placé sur le chemin ne verrait rien d’autre que la session SSL.
    Test: connectez vous sur votre routeur, faites un coup de wireshark, ça démarre par une session SSL

    2/ Soit un client qui se connecte par un proxy sur un site B en https.
    L’admin du proxy voit d’un seul coup beaucoup plus de choses. Les navigateurs webs sont un peu plus bavards et ne démarrent pas par une connection SSL.
    La connexion démarre par une commande
    CONNECT reflets.info:443 HHTP/1.1
    User-Agent: Mozilla/5.0 etc..
    Proxy-Connection: keep-alive
    Host: reflets.info
    etc…
    Donc l’admin du proxy peut avoir des logs verbeux.

    Et ceci, uniquement avec un observateur entièrement passif, sans parler de certificats cassés, ou de redirection de trafic.

      1. Yup. On peut regarder les FAI français, par exemple. Dans le temps, free proposait proxy.free.fr, orange propose proxy.orange.fr, etc…

        Il faudrait regarder les CGV des FAI syriens afin de vérifier s’ils proposent des proxy. Les internautes conscienceux renseignent le proxy dans leur navigateur, et les logs des bluecoat se remplissent de manière plus verbeuse.

          1. Un proxy transparent ne fonctionne pas avec de l’HTTPS (forcément).
            Le navigateur démarre par une session SSL, donc pas moyen pour le proxy d’intercepter quoi que ce soit.

            Si le proxy est spécifiquement paramétré, alors il y a un CONNECT.

          2. je me répond à moi même :
            en cas de proxy transparent (redirigé, inline ou en utilisant le protocole WCCP), on voit pas le user agent ni le fqdn car le navigateur n’utilise pas la méthode CONNECT.
            Donc le seul moyen pour analyser ce flux est bien de faire de l’interception SSL (https://kb.bluecoat.com/index?page=content&id=KB1478&actp=LIST).

            Une dernière possibilité est que beaucoup de navigateur sont configuré en mode autodiscovery pour le proxy, et ce serait cette faille qui pourrait être utilisée (à vérfier, c’est le cas pour IE il me semble mais pas pour Firefox).

          3. Autre information qui pourrait jouer en faveur de cette approche :

            Jusqu’en debut 2011, Facebook était bloqué en Syrie. Pour fournir quand même le service, les cybercafé proposaient de passer par des proxys (j’y était j’ai testé ).

            Peut être que même après la réouverture de Facebook, les utilisateurs ont gardés leurs comportement pre-2011 : paramétrer un proxy pour aller surfer sur facebook. Ce proxy étant configuré, il traite TOUS les sites en https donc ceux que nous pouvons observer.

            J’essayerai de poster quelques stats sur les logs pour essayer de tester cette théorie.

            L’idéal aurait été d’avoir les IP des clients ( est ce qu’un seul client a fait certaines requetes Bavardes ET certaines requets en mode Muet ) -> MITM

            J’essayerai de faire des stats sur les host destination des CONNECT ( si certains logs Muets sont à destination des IP de Facebook alors la caractéristique « Muet/Bavard » ne depend pas du site cible -> pas de MITM )

            Raisonnement correct ?

          4. Tu parles là de proxy explicitement configurés, et comme ce sont des proxys pour bypasser un blocage, ce ne sont surement pas des proxys d’états.
            Donc l’hypothèse me semble fausse, un client ne va pas explicitement utiliser un proxy d’état pour bypasser une censure d’état (à moins que ce soit plus pervers que ça et que l’état veuille voir le contenu exprès).
            Donc si ce proxy est utilisé c’est soit avec la complicité des cybercafés, soit par inadvertance (détection proxy activée), soit par reroutage du trafic.

            Mais ta dernière hypothèse est à creuser.

          5. :)

            Je parle bien sur d’une hypothèse ou :

            1 – les cyber café acceptent de passer par des proxy d’etat. Et qu’ils configure leur navigateurs par défaut pour réaliser ceci. Je rapelle que on doit montrer son ID pour se connecter dans un cyber café. Et que il y a 2 ans encore, les moukhabarat (renseignement) passaient plusieurs fois par jour pour récuperer les ID de ceux qui s’étaient connectés les derniers jours.

            2 – le syrien de base n’est pas Tech. Il ne fait aucune activitée subversive. Il n’a pas d’ordinateur chez lui. Il se connecte sur son compte Facebook au cybercafé du coin.

          6. Donc c’est bien perverti.
            « C’est bloqué sauf si on peut voir ce que vous faites »…

            Belle ambiance :(
            Enfin ça arrive ici aussi :(

          7. Pour info, oui en Syrie il faut renseigner explicitement le proxy.
            C’est du genre : proxy.scs-net.sy ou proxy.net.sy
            Je donne ces infos de mémoire, j’ai quitté le pays il y a qq temps.

            Beaucoup de gens (surtout les jeunes) accèdent a facebook et aux mails via leurs portable. Pareil, ils doivent d’abord configurer leurs téléphones (il faut envoyer un sms à l’opérateur, qui renvoi la conf automatiquement sur l’appareil).
            Par contre je ne connais pas les proxys pour les portables.

            SVP penchez-vous sur l’internet mobile, je pense que c’est là qu’est le plus gros enjeux car c’est ce qu’utilise le plus grand nombre (qui ne veulent pas aller en cyber café pour ne pas donner leur ID, et qui n’ont pas internet chez eux car trop cher).

  7. Pour le MITM via la récup de cert diginotar j’y crois pas une seule seconde. L’hypothèse la plus problable: un jour les clients ont vu le message d’avertissement ils ont cliqué oui/oui/oui et basta MITM SSL.

  8. J’aimerai vraiment connaître vos différents avis suite à votre échanges. Je suis désolé de ne pouvoir enrichir la réflexion vu mon faible niveau technique.
    Shaman, si vous faites cette analyse statistiques qui permettrait de donner du poids aux différentes des hypothèses, ce serait top.

  9. La session https passe en ssl… mais le « connect » à destination du proxy afin d’ouvrir le tunnel pour le traffic chiffré (inexploitable par le proxy), ne pourrait-il pas être plus bavard quand c’est le navigateur qui s’en charge car le proxy n’est pas configuré globalement sur la machine?

    Pour avoir utilisé des outils externes pour faire le connect (proxytunnel…), afin de me connecter du taf à mon PC perso en SSH, celui-ci donnait la possibilité de passer un user-agent (entre autres!) au proxy car là ou je bosse c’est vérifié (le user-agent chrome est bloqué pour pallier au fait que google s’accorde dans son EULA licence d’exploitation de ce qui y passe, posant de possibles pb de propriété intellectuelle) et un user-agent vide se faisait jeter.

    Bon, ca fait qq années car depuis y’a visiblement un test au niveau de la string de version du serveur SSH… qui provoque la fermeture du tunnel pour emmerder un peu plus les petits malins (obligeant à utiliser stunnel du port 443 vers le 22 à la maison et proxytunnel avec l’option pour rajouter une couche de SSL par dessus le SSH)… mais pour avoir regardé ça avec wireshark afin de savoir ce qui serait visible des admins, ce connect était bavard et passait en clair.

    Bref, je pense que l’article ne repose pas sur des bases fiables et qu’une petite expérimentation le confirmerait.

    Ce qui ne veut pas dire que ce soit par ailleurs impossible… auquel cas les bunkers de Khadafi, qui contenaient du matos d’interception, pourraient avoir eu une valeur assez conséquente si ceux qui y sont rentrés parmi les premiers avaient les connaissances pour extraires les certificats qui auraient pu y être inclus :o)

    Ce qui serait une autre piste possible de fuite si des soupçons devaient vraiment se porter sur SSL: Il n’y a peut-être pas que qq centaines/milliers (on ne semble pas trop savoir) de Sam7 qui se sont perdus (AQMI?) lors de la chute de Khadafou et menacent désormais l’aviation civile mondiale?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *