#OpSyria : BlueCoat maître artisan de la censure syrienne

Nous vous avions déjà parlé de BlueCoat, une entreprise originaire d’un pays qui bombarde la liberté sur des pays entiers sous prétexte qu’ils ont des armes de destruction massive imaginaires… oui les USA. Le pays de
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

36 thoughts on “#OpSyria : BlueCoat maître artisan de la censure syrienne”

  1. Que des proxy Bluecoat soient utilisés en Syrie, vos informations le démontrent suffisamment. Que ce matériel ait été livré directement par Bluecoat, comme vous le faites remarquer ça reste une supposition, mais le client final ne leur ait certainement pas inconnu.
    Mais sur base des informations de cet article il me semble difficile d’affirmer que des ingénieurs de chez Bluecoat soient directement impliqués dans la configuration du matériel. Si Bluecoat est coupable d’être le « maître artisan de la censure syrienne », je doute que cette société souhaite en faire la publicité. Il me semble que la première action de leur part serait, au pire, de ne pas insérer les entêtes « X-Forwarded-For » et « X-BlueCoat-Via » (simple paramètre de configuration dans SGOS). Au mieux, ils auraient utilisés la capacité de « Reflect Client IP » offerte par SGOS qui ne laisse apparaître que l’adresse du client d’origine. Avec ces deux fonctionnalités activées, alors oui on peu commencer à parler de filtrage insidieux. Mais là il s’agit plutôt d’amateurisme (une simple visite sur un site comme http://www.lagado.com/proxy-test révèle le filtrage). Ou alors les ingénieurs de chez Bluecoat ont volontairement laissé passer ces informations pour vous faire une fleur…;-)
    Mon commentaire ne signifie en rien que j’approuve ces pratiques, juste une réflexion. Et oui, nous utilisons du matériel Bluecoat dans mon entreprise (principalement pour du cache et du reverse-proxy).

    1. @Lou : bien entendu, comme c’est mentionné on a croisé des trous de sécurité tellement béants que l’hypothèse du « on branche sans chercher à comprendre comment ça fonctionne » est tout à fait crédible.

      À vrai dire, le mélange est assez déstabilisant, dans le sens où on a détecté un nombre plutôt impressionant de ces matériels BlueCoat (comme on l’a vu des modèles différents installés chez les deux « seuls » FAI du pays), avec une architecture d’upload automatique des logs notamment… avec à côté de ça ces trous énormes. Bref, ça se discute et effectivement, dur d’avoir des certitudes.

      Ensuite, évidemment, comme tout, tout dépend de l’utilisation qui est faite du matériel. On peut utiliser un couteau de cuisine pour faire de la bonne bouffe comme pour trucider des innocents :) Se pose simplement la question de l’éthique de la vente, de la politique impulsée par les États-Unis et de son respect par les entreprises qui y sont implantées…

  2. « Mais comme ces technologies sont interdites dans la majeure partie des démocraties (en France, le code des Postes et Télécommunications est formel) »

    C’est beau de vivre au pays des bisounours, faut prendre quoi comme pillule et ça coute combien (ou rapporte) ???

    « ça nous dérange encore plus quand le dictateur en question envoie les snipers et autres chars d’assaut tirer sur sa propre population. »

    VOS SOURCES SVP !

    ICI il y a une version complétement différente ?
    http://www.agoravox.tv/tribune-libre/article/alain-soral-retour-de-syrie-31436

    « Avec l’aide de nos amis de Telecomix et le soutien d’activistes plus ou moins affiliés à Anonymous, nous vous livrons aujourd’hui de nouveaux éléments sur l’implication de BlueCoat dans la mise en place des outils de censure et de répression de la Syrie. »

    LOL

    « Nous avons étudié le fonctionnement de la censure syrienne un peu plus en détail »

    RELOL

    Alcatel (français) Lucent (américain) : cet ami qui vous veut du bien
    http://bluetouff.com/2010/08/14/alcatel-lucent-cet-ami-qui-vous-veut-du-bien/

    Vous feriez mieux de vérifier le « réseau français » à moins que cela ne soit pas dans vos cordes…

    N.B. : reflets des mass medias serait à ajouter avant dot info

    N.B. : geek et politique, la cata…

    1. @free :
      Voici quelques sources journalistiques, mais au vu de la vidéo de M. Soral, j’ai bien peur qu’elles ne te conviennent pas, j’anticipe que tu leur objecteras d’être le fruit des médias pro-sarkozistes au sein desquels tous les journalistes sont payés directement pour lui fournir de la propagande. En voici tout de même quelques unes :
      http://www.lemonde.fr/proche-orient/article/2011/08/29/l-armee-syrienne-a-ouvert-le-feu-dans-la-ville-de-rastan_1564660_3218.html#ens_id=1481132
      http://www.lemonde.fr/proche-orient/article/2011/08/26/plusieurs-morts-dans-les-manifestations-du-vendredi-en-syrie_1564004_3218.html#ens_id=1481132
      http://www.lemonde.fr/proche-orient/article/2011/08/26/plusieurs-morts-dans-les-manifestations-du-vendredi-en-syrie_1564004_3218.html#ens_id=1481132
      http://syrie.blog.lemonde.fr/2011/08/25/le-caricaturiste-ali-farzat-enleve-et-blesse-par-des-moukhabarat/

      Tu peux chercher sur Google « Ali Farzat » ou encore « Ibrahim Qashoosh », peut-être trouveras-tu encore davantage de sources concordantes. Quoique. Google est sûrement à la solde du gouvernement Sarkozy…

      Si cela ne te satisfait pas, peut-être que des dizaines de vidéos provenant du terrain et prises par tous types d’individus te donneraient-elles des éléments supplémentaires ? Tu en trouveras une compilation ici :
      http://bruteforce.dk/yt/

      Et puis, je suis sympa, je t’en sélectionne une vraiment plus sympa que les autre, en espérant que le manque de stabilité du cameraman ne t’embêtera pas trop :
      http://www.youtube.com/watch?v=QnqiQICRD8w

      Pour terminer, si « l’étude de la censure syrienne un peu plus en détail » te fait « lol » et « relol », je serais ravi d’avoir l’occasion de répondre à tes questions, si tu as des doutes, par quelques éléments techniques concrets. Tu peux également lire cet échange entre un Allemand de Telecomix et un citoyen Syrien (en Anglais) :
      http://stephanurbach.de/2011/08/mail-aus-syrien/

      En espérant avoir comblé quelques un de tes doutes :)

      1. @KheOps, Merci pour les liens, mais ne t’inquiété pas pour moi, je ne doute pas que des répressions fassent des morts, d’ailleurs, pas besoin d’aller en Syrie, l’ile se trouvant juste à côté de la France suffit ;)

        Emeutes en Angleterre: 3 hommes tués à Birmingham
        http://www.rtl.be/info/monde/europe/815230/emeutes-en-angleterre-3-hommes-tu-s-birmingham

        Un cinquième mort dans les émeutes en Grande-Bretagne
        http://www.ouest-france.fr/ofdernmin_-Un-cinquieme-mort-dans-les-emeutes-en-Grande-Bretagne_6346-1905330-fils-tous_filDMA.Htm

        Et comme tu peux le constater, je ne vais pas chercher les infos sur des sites underground ;)

        Je ne nie pas que l’oligarchie Syrienne filtre et veule faire taire les dissidents (on en est tous là, quelque soit l’endroit sur cette planéte), mais je remarque que l’on est très mal placé pour juger quoique ce soit, JAMAIS je n’irai dans un autre pays leur dire comment il faut faire, PAR CONTRE ICI, entre bon français, je t’invite à regarder cette conférence
        http://www.youtube.com/watch?v=WeZh2Pl3wXw

        Comme je pense que tu n’auras certainement pas le temps et surtout l’envie de la suivre, prend seulement 6 mn pour écouter cette ITV http://www.reporterre.net/spip.php?article1651

        ;)

        1. Dommage, on ne peut pas éditer son message, donc comme j’entends déjà que les émeutes en angleterre n’ont rien à voir avec la Syrie, je rajouterai cela sur la Libye http://www.michelcollon.info/ (et ne me dite pas que c’est Kadhafi qui a bombardé son pays) et je ne parle pas de la belle démocratie imposé en Irak, ex-Yougoslavie et autre Afghanistan ….

          1. @KheOps ▼ « BlueCoat maître artisan de la CENSURE syrienne » mais c’est pas grave, rendors-toi ☠ ⚠☢ ✖ 【ツ】

          2. Oui, la Syrie censure l’Internet. Personne ne nie que cela se passe en Europe également, et nous ne sommes évidemment pas indifférents.

            Je comprends que cela puisse être vu comme de l’ingérence, mais il se trouve qu’effectivement la censure et d’espionnage à l’insu des utilisateurs d’Internet, et ce quel que soit le pays, ne nous plaisent pas trop. Il se trouve qu’en Syrie cela entraîne en ce moment meurtres et tortures, ce qui « motive » d’autant plus à s’y intéresser, et à étudier la complicité éventuelle d’entités occidentales (ne font-elles pas de l’ingérence, elles aussi, d’ailleurs ?). Nous n’avons pas la prétention de donner des leçons parce que nous sommes européens, ils s’agit juste d’un ensemble d’individus regroupés autour d’une certaine idée de la liberté d’expression.

            Je crois qu’on s’écarte définitivement du sujet, donc je m’arrête là mais libre à toi de venir discuter sur l’IRC de Reflets :)

      1. Ca m’étonnerai que les 200 touristes viennent faire un tour ici, mais je dirai que l’oligarchie Syrienne essaye de censurer les dissidents 2.0 (moyenne d’age 20-30 ans) en même temps on aurait pas le même probléme ici ?

  3. @free : je trouve que ces commentaires sont un peu courts, un peu _délibérément_ courts : isoler quelques phrases assez secondaires par rapport aux vraies infos de l’article et y plaquer une assertion définitive, tsss.

    « geek et politique … » ben oui, c’est un peu ce qu’on vient chercher sur reflets & co. On aimerai d’ailleurs bien lire, ou tout simplement croiser dans la rue, plus de « boulangers et politique », de « plombiers et politique », de « médecins et politique », de « flics et politique », voire de « troll et politique »

    cdt,

    un lecteur

    1. @LS. (Camarade), tu préférerais que j’écrive un pavé à la Bourdieu, je préfére la vacance de son disciple Wacquant et désolé si je pique les geeks avec mes raccourcis mots clefs en ayant espérai que cette fonction ne reset pas les lecteurs de cette espace, je crois que je me suis trompé est que votre hardware n’a rien à envier aux systèmes propriétaires.

      sudo apt-get install irl

      boulangers et politique : FN

      plombiers et politique : FN

      médecins et politique : UMP – PS

      flics et politique : FN – UMP – PS

      troll et politique : Communiste – Libertaire – Anarcho – Gauchiste – Greenwashers …

      1. Bonsoir. Je suis en Syrie et je confirme tout ce qui a ete dit dans l’article au niveau censure et des tests effectues moi aussi avec des amis Francais. il n’y a que le htpps qui passe a condition de se debarasser du proxy syrien en bidouillant mais bref c’est le seul moyen de communiquer normalement actuellement ou soit l’utilisation d’un vpn que vous semblez remettre en question. Cela ne vous semble pas un moyen securise ?

        1. Bonjour. Oui, cela peut permettre de sécuriser (un peu mieux) ses transmissions. Il faut tout de même faire attention à certaines choses, par exemple:
          – qui est à l’autre bout du VPN ? Cette personne/entreprise a en théorie accès à l’ensemble du flux que vous générez, il ne faut donc pas faire confiance à n’importe qui. Par exemple, Ultrasurf devrait être évité (voir http://reflets.info/syrie-ultrasurf-ou-comment-le-gouvernement-syrien-piege-ses-opposants-avec-un-malware/ ).
          – Même si les machines gouvernementales ne sont pas capables de déchiffrer les données passant dans un VPN chiffré, il est possible de savoir que vous utilisez effectivement un VPN, cela pouvant éventuellement vous rendre suspect (ce n’est qu’une supposition).

          Merci d’avoir confirmé nos informations :)

  4. Cette analyse de l’infrastructure réseau de la Syrie est pour moi très très sommaire. Et le résultat montre que cette censure est également très sommaire. Mon entreprise censure encore plus l’accès au web que la syrie, d’après vos dires !

    1/ Ne pas monitorer autre chose que le port 80 est totalement stupide puisque la mise en place d’un simple Proxy HTTP perso dans une zone réseau « non-censurée » suffirait à bypasser le proxy national…
    2/ dans vos derniers paragraphes, rien n’affirme la présence de matériel de DPI. C’est une idée que vous transformez en affirmation. Un proxy couplé à un simple firewall est tout à fait capable d’effectuer toutes les actions que vous décrivez (règles de routage, de blocage, d’archivage…). Même iptables en est capable ! Si DPI il y avait, beaucoup d’autres protocoles seraient impactés. Pas seulement le 80.
    3/ Comment vous devinez les modèles de proxy simplement via le header ? Cela serait une grosse faille de sécurité du matériel que de donner cette information…
    4/ Ce billet montre le grand amateurisme avec lequel vous effectuez vos tests et rédigez vos articles, avec des termes plus pompeux les uns que les autres.
    5/ Je n’approuve absolument pas le filtrage du net, où qu’il soit situé (bon ok, en situation professionnelle c’est compréhensible). Cependant la configuration réseau que vous avez « hacké » (ahahah :’)) et que vous décrivez ne ressemble en rien à une infrastructure massive de surveillance de réseau.

    Essayez d’être plus professionnels et d’affirmer des dires seulement quand vous avez la possibilité d’apporter des preuves tangibles et non des expériences « simples » mettant en avant des « résultats » simples, dignes d’un cours de sécurité de n’importe quelle école d’informatique en 1ère année.

    Vous n’avez pas « dévoilé les systèmes de censure et de surveillance syriens » , vous avez lu un cours de 1ère année d’école d’info.

    Si vous avez vraiment été aidé d’amis « de chez Anonymous », je ne peux que pleurer de leur compétence…

    1. Rzzzzzzz….

      Notre zénitude est à son degré maximum sur ce sujet et vous pourrez écrire ce que vous voulez, nous ne nous départirons pas de notre sourire de bouddha.

      :)

      Libre à vous de penser ce que vous voulez, nous ne vous imposons rien. Ni la lecture de nos papier, ni leurs conclusions.

      Vous êtes un homme libre. N’est-ce pas là une nouvelle merveilleuse ?

    2. 1/ Ce n’est pas si « stupide », lorsque 90% de la population ne sait pas ce qu’est « HTTPS » et surfe donc naïvement en HTTP avec les configurations par défaut. En outre, les requêtes TCP 80 sont redirigées vers les BlueCoat dès l’arrivée au routeur de STE, i.e. tu peux toujours utiliser un proxy, de toute façon ta requête passera par le BlueCoat avant-coup. Ça suffit amplement pour récolter énormément de choses. Pour un ordre d’idées factuel, la quinzaine de proxies BlueCoat SG-9000 (hors SCS donc) produisent au total entre 15 et 90Go de logs gzippées chaque jour, chacun traitant quotidiennement entre 15 et 45 millions de requêtes HTTP et servant plus de 60 000 IPs. Ça plus un peu de phishing (je n’invente pas) pour récupérer quelques mots de passe supplémentaires, c’est efficace. Bien entendu il existe comme (presque) toujours des moyens de bypasser, mais ce qui en fait un moyen de surveillance/censure de masse, ce sont les habitudes qu’ont les gens, qui ne connaissent pas ces moyens. Ajoute à cela que parmi les IPs observées figure probablement une bonne quantité de cybercafés (l’Internet à la maison est relativement peu répandu), où une bonne quantité de personnes passent chaque jour.

      2/ Nous avons bien dit que nous suspections la présence de ce matériel. Je t’accorde que c’est ici clairement une simple supposition. Mais voyant le cas de la présence de matériel Amesys en Libye, elle n’est pas du tout farfelue.

      3/ nmap -A -O est ton ami :) Aurions-nous dû afficher l’output ? Tu peux tester, il confirme clairement le modèle des machines.

      4/ ? rien de factuel auquel je peux répondre ?

      5/ Ça tombe bien, nous non plus !

      On aurait pu (et même peut-être dû ?) être bien plus techniques, apporter plus d’éléments, etc. mais il n’est pas tout le temps simple de trouver le bon équilibre lorsqu’on rédige. Les quelques résultats de tests que nous présentons ne sont que l’épiderme de deux mois d’« investigation », mais nous ne somme pas sur un site 100% technique.

      Si tu tiens tant infirmer nos propos, libre à toi de te renseigner sur le pays, les habitudes des gens, la structure du réseau, et d’apporter des éléments techniques factuels et précis supplémentaires :)

  5. Vous sous-estimé le système de filtrage mise en place.

    Le port 80 est le plus surveillé et filtré car c’est le plus utilisé et les règles de filtrage sont clairement établis.

    Mais en fait tout les ports sont surveillés par contre les règles de filtrage n’étant pas établi définitivement sont en cours de réalisation au fur et à mesure de la tentative de piratage sans oublier qu’il y a malgré tout stockage de toute l’information lors de cette tentative d’accès.

    Donc les règles sont dynamiques et bien fixe sur le port 80 donc facilement visible.

    sur les autres ports, les règles se mettront en place au fur et à mesure des besoins liés aux tentatives d’accès désigné comme « pirate » ou « illégale ».

    Dans ce système de filtrage, rien n’est perdu et tout est stocké permettant une analyse a-postériori.

    Pour conclure sur la philosophie de ce type de filtrage intelligent:

    Plus vous tenterez de passez, Plus le filtrage sera efficace.

    1. Bonjour ! Merci de ces éclairages, évidemment ces quelques expérimentations ne permettent pas de mettre en lumière l’ensemble du système de surveillance, il est très probable qu’il existe des choses qu’on ne voit pas, et il serait intéressant d’en apprendre davantage. Par exemple, à quels types d’outils ont-ils recours pour espionner les ports en dehors du port 80 ? Stocker le trafic sur l’ensemble des ports utilisés requiererait en outre beaucoup d’espace de stockage, il me paraît à première vue techniquement difficile de poursuivre la logique de « on stocke tout » à l’infini. Ou alors ne sont stockées les requêtes qui matchent certains mot-clés uniquement ? Et comment se fait l’analyse a posteriori ?

      Pour terminer sur la phrase « Plus vous tenterez de passez, Plus le filtrage sera efficace. » : c’est le jeu du chat et de la souris qui a toujours existé et existera toujours entre ceux qui veulent surveiller et ceux qui veulent se soustraire à cette surveillance, il me semble :) Tenter de passer, en étant discret, pour retarder la détection au maximum. Hé ouais, il faut se battre pour pouvoir s’exprimer librement !

  6. Ping : raiselink.com

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *