#OpSyria : BlueCoat maître artisan de la censure syrienne

Telecomix SyriaNous vous avions déjà parlé de BlueCoat, une entreprise originaire d’un pays qui bombarde la liberté sur des pays entiers sous prétexte qu’ils ont des armes de destruction massive imaginaires… oui les USA.

Le pays de Mickey est, comme la France, très en pointe sur les technologies de filtrage d’Internet. Mais comme ces technologies sont interdites dans la majeure partie des démocraties (en France, le code des Postes et Télécommunications est formel) et qu’il faut bien trouver des débouchés commerciaux aux outils de la censure, il n’est pas rare qu’on vende deux ou trois machins à de bons gros dictateurs assumés… <subliminal> à l’image de ce grand patron français qui, le 13 février dernier, se trouvait à Tripoli pour vendre à l’ami Kadhafi un système d’écoute « Nation Wide » et un NAS assez conséquent pour mettre en cache tout Google</subliminal>

Ceci nous dérange. Et ça nous dérange encore plus quand le dictateur en question envoie les snipers et autres chars d’assaut tirer sur sa propre population.

Avec l’aide de nos amis de Telecomix et le soutien d’activistes plus ou moins affiliés à Anonymous, nous vous livrons aujourd’hui de nouveaux éléments sur l’implication de BlueCoat dans la mise en place des outils de censure et de répression de la Syrie.

Nous avons étudié le fonctionnement de la censure syrienne un peu plus en détail. Nous soupçonnons l’utilisation de deux technologies. La première est assez simple, relativement efficace (mais tout à fait contournable) : le proxy filtrant.

La seconde, bien plus vicieuse et que l’on ne vous présente même plus sur Reflets, c’est le Deep Packet Inspection (inspection en profondeur des paquets), capable de labelliser du trafic Internet afin d’en déterminer une règle de routage, de blocage, ou d’interception de la communication. Le DPI c’est avant tout une spécialité bien française, mais les américains ne sont pas en reste. Il faut dire que le marché, avant le printemps arabe, semblait particulièrement porteur… il l’est un peu moins maintenant et tout ça va quand même finir par se voir.

Nos amis de BlueCoat, qui sont aujourd’hui à l’honneur, disposent d’une large gamme d’outils de censure du Net, toujours présentés comme des outils bienveillants destinés à protéger nos enfants des pédonazis du Net, ou à préserver votre Windows d’attaques virales. Accessoirement, dans certaines dictatures, le DPI, ça peut aussi servir à éradiquer toute forme d’opposition ou à contrôler de manière massive des flux informationnels… mais ça, évidemment, on ne le trouve pas dans des plaquettes commerciales… peut être dans quelques white papers « confidentiels » comme sur celui de Qosmos qui nous explique les vertus du DPI pour un état.

Quelques tests menés directement depuis la Syrie nous ont permis de mettre en lumière l’utilisation de proxys filtrants et certainement d’outils de Deep Packet Inspection par le gouvernement Syrien grâce aux technologies américaines fabriquées par la firme BlueCoat.

Voici les tests qui ont été effectués et qui ont permis de dévoiler les systèmes de censure et de surveillance syriens. Nous essayons ici de vous en donner les principaux résultats, en décrivant la procédure que nous avons suivie et ce que nous avons observé.

Nous avions à notre disposition une machine serveur, que l’on appellera machine « S », située dans un pays « suffisamment démocratique » pour que l’ensemble des requêtes lui parviennent non altérées (de son côté, du moins), qu’elle soient effectuées en TCP, en UDP, et quel que soit leur contenu.

Considérons également deux machines situées sur le territoire syrien, connectées avec un ADSL classique et utilisant deux FAI différents :

  • La machine « A », utilisant le FAI majoritaire en Syrie : Tarassul, dont tout le trafic est redirigé vers les passerelles de l’opérateur national dont il dépend, à savoir le Syrian Telecommunications Establishment (STE), contrôlé directement par le gouvernement – tranche IP : 31.9.*.
  • La machine « B », utilisant le FAI Syrian Computer Society (SCS), institution publique dont le Président Bachar el-Assad est à la tête (source) – tranche IP : 77.44.*.

En premier lieu, des tests de connexions depuis « A » vers « S » ont été effectués, voici un résumé des résultats :

  • Connexion vers le port TCP 5060 (utilisé pour le protocol SIP – nous voulions tester des solutions de VoIP sécurisées) : le port est bloqué (timeout du côté du client, et aucune requête de connexion n’arrive au serveur).
  • connexion vers le port TCP 443 (comme tout le monde le sait, normalement utilisé pour le trafic HTTP sécurisé) : « S » voit arriver une connexion depuis l’IP de « A », et le trafic semble passer dans les deux sens sans problème.
  • Le cas du port 80 est très certainement le plus intéressant. Nous avons tout d’abord tenté une simple connexion TCP par Telnet en envoyant des données aléatoires : « S » ne reçoit aucune requête de connexion, pourtant du côté de la machine client « A », la connexion semble avoir été ouverte, mais rien ne se passe, les données semblent partir dans le vide. Nous avons ensuite tenté d’utiliser le port 80 de façon traditionnelle, à savoir en faisant une requête HTTP avec un navigateur Web standard sur la machine « A ». Résultat : le serveur « S » reçoit bien une tentative de connexion, mais qui ne vient pas de « A ». Elle provient d’une IP qui n’est d’ailleurs même pas dans la même tranche, à savoir 82.137.200.56. Une recherche rapide nous montre que… Tiens, c’est une tranche IP appartenant au Syrian Telecommunications Establishment… En outre, certaines lignes attirent notre attention dans la requête reçue par « S » :
  X-Forwarded-For: 31.9…. (IP de « A »)
  X-BlueCoat-Via: 2C044BEC00210EB6
Bon, cela se passe de commentaire. La requête a été redirigée vers un équipement BlueCoat qui nous l’a ensuite forwardée, et « A » n’est au courant de rien. Rien à dire de plus. Ah, si, le modèle de l’équipement : BlueCoat Proxy SG-9000.
Qu’en est-il de la Syrian Computer Society ? Voici les résultats des tests effectués depuis la machine « B », toujours en direction de « S » :
  • Nous avons tenté à nouveau la connexion vers les ports 5060 et 5061 (ce dernier étant utilisé pour le SIP sécurisé) : même résultat que pour « A ».
  • Port 443 : comme pour « A », le trafic semble passer dans les deux sens, le serveur reçoit une connexion qui provient bien de l’IP de « B ». D’autres ports classiques comme le 6667 ou 6697 passent également sans problème.
  • Une fois de plus, le cas du port 80 est le plus intéressant. Même premier test : connexion de « B » vers « S » puis envoi de données aléatoires avec Telnet. Résultat, une page d’erreur HTML « Bad Request » du côté de « B », et rien ne se passe du côté de « S ». Même second test : une requête HTTP quelconque avec un navigateur standard, et résultat similaire : « S » reçoit la connexion mais elle ne vient pas de l’IP de « B », mais de 213.178.244.16, une IP d’une tranche différente de celle de « B » donc, mais qui appartient bien à la SCS. En outre, ici aussi, deux lignes sortent du lot dans la requête HTTP :
  X-Forwarded-For: 77.44…. (IP de « B »)
  X-BlueCoat-Via: E4007B080BF520E6
OpSyria-BCSI
Il faut dire que ce coup-ci on s’y attendait un peu. Comme précédemment, du point de vue du client, rien ne permet de savoir que notre requête a été redirigée vers un proxy. Une petite différence tout de même, puisque le modèle de cet équipement est un BlueCoat SG-400. Nous avons effectué en outre un troisième test, et fait une requête HTTP pour la page « /proxy.html » depuis « B », toujours vers « S ». Résultat : rien n’arrive à « S », et « B » se voit retourner une belle page HTML spécifiant que la page demandée est indisponible. Bon, évidemment, le mot « proxy » dans la requête n’avait pas été choisi au hasard… Le résultat ne fut donc qu’une demi-surprise, mais confirme bien le filtrage de certaines URL.
SG400 Bluecoat for a cleaner and safer Internet

Pour synthétiser, tirons quelques conclusions de ces observations. Concernant la politique de blocage et d’observation, il est clair que le gouvernement syrien a compris que la vaste majorité du trafic se passe sur le Web, i.e. par le port 80. Et la plupart des syriens n’ont pas le réflexe d’utiliser le HTTPS (port 443). De toutes façons, il existe pléthore de sites qui ne fournissent pas d’accès sécurisé. Voici donc une façon simple et efficace de récupérer des logins et mots de passe par milliers et d’aller fouiller dans les boîtes mails à volonté. Nous avons vu également que le port 5060, utilisé pour la VoIP sur le protocol SIP, est bloqué. Et nous savons que Skype est utilisé de façon très large en Syrie. Le gouvernement aurait-il donc intérêt à ce que les gens continuent d’utiliser Skype en les empêchant de se servir de moyens alternatifs mieux sécurisés ? Le blocage sélectif des ports 5060 et 5061 rend cette perspective crédible, et par la même occasion, permet de se demander s’il existe une coopération quelconque entre Skype et le gouvernement syrien pour collecter les données personnelles des utilisateurs. Il convient toutefois d’envisager également que les blocages sélectifs de ports pourraient très bien être le fruit d’une configuration « par défaut » des équipements installés tel quels par les autorités. Éventualité également possible au vu des failles de sécurité béantes que nous avons croisées sur notre chemin et qui semblent indiquer une certaine précipitation (ou incompétence) dans l’installation des matériels.

Techniquement parlant, nous avons observé tout d’abord que le routage du trafic des clients ADSL se faisait en fonction du port TCP demandé. Si le port est différent de 80 et qu’il n’est pas bloqué, la requête parvient directement au serveur. Si c’est le port 80 qui est demandé, elle est redirigée vers un proxy BlueCoat sans que le client ne s’en aperçoive. Ensuite, l’équipement BlueCoat se charge de lire la requête et d’éventuellement la transmettre, si celle-ci ne contient pas de mot-clé interdit ou ne tente pas d’accéder à un site Web proscrit. Dans tous les cas, l’action de l’utilisateur est loggée (à son insu, bien entendu), nous en avions brièvement parlé dans un article précédent. En bref, le trafic est potentiellement observé et modifié à deux niveaux : selon les données du protocol IP (numéro du port demandé), puis selon les données du protocol HTTP.

DPI ou pas DPI ?

La nature même d’un équipement de Deep packet Inspection n’autorise pas sa détection. Ces derniers, connectés en Ethernet au « cul du tuyau » national, ne sont pas visibles depuis l’extérieur. SI nous n’avons pas de certitude quant à leur présence effective, nous soupçonnons pourtant la présence d’un mécanisme capable d’analyser le trafic à la volée, de taguer (labelliser) ce trafic, afin d’y appliquer des règles de routage, de blocage, d’archivage… le tout joyeusement réencapsulé grâce à la magie du protocole MPLS. Un simple proxy filtrant n’ayant à notre connaissance pas ce type de supers pouvoirs, nous en déduisons bien la présence d’outils d’analyse en profondeur de paquets.

BlueCoat responsable ou coupable ?

Nous n’avons à ce jour aucune preuve formelle que BlueCoat a directement vendu ces équipements au régime syrien. La nature même de ce type de marché révèle la présence d’intégrateurs de technologies de fabricants. BlueCoat est à la fois fabricant et intégrateur mais ses technologies sont fort probablement intégrées par d’autres entités, clientes de BlueCoat. Cependant, ce type de marchés inclue généralement des volants de maintenance, de formation qui ne peuvent échapper à la sagacité du fournisseur de technologie impliquée.

Nous sommes en 2011, les Etats et des sociétés privées vous protègent … ayez confiance.

Twitter Facebook Google Plus email

36 thoughts on “#OpSyria : BlueCoat maître artisan de la censure syrienne”

  1. Que des proxy Bluecoat soient utilisés en Syrie, vos informations le démontrent suffisamment. Que ce matériel ait été livré directement par Bluecoat, comme vous le faites remarquer ça reste une supposition, mais le client final ne leur ait certainement pas inconnu.
    Mais sur base des informations de cet article il me semble difficile d’affirmer que des ingénieurs de chez Bluecoat soient directement impliqués dans la configuration du matériel. Si Bluecoat est coupable d’être le « maître artisan de la censure syrienne », je doute que cette société souhaite en faire la publicité. Il me semble que la première action de leur part serait, au pire, de ne pas insérer les entêtes « X-Forwarded-For » et « X-BlueCoat-Via » (simple paramètre de configuration dans SGOS). Au mieux, ils auraient utilisés la capacité de « Reflect Client IP » offerte par SGOS qui ne laisse apparaître que l’adresse du client d’origine. Avec ces deux fonctionnalités activées, alors oui on peu commencer à parler de filtrage insidieux. Mais là il s’agit plutôt d’amateurisme (une simple visite sur un site comme http://www.lagado.com/proxy-test révèle le filtrage). Ou alors les ingénieurs de chez Bluecoat ont volontairement laissé passer ces informations pour vous faire une fleur…;-)
    Mon commentaire ne signifie en rien que j’approuve ces pratiques, juste une réflexion. Et oui, nous utilisons du matériel Bluecoat dans mon entreprise (principalement pour du cache et du reverse-proxy).

    1. @Lou : bien entendu, comme c’est mentionné on a croisé des trous de sécurité tellement béants que l’hypothèse du « on branche sans chercher à comprendre comment ça fonctionne » est tout à fait crédible.

      À vrai dire, le mélange est assez déstabilisant, dans le sens où on a détecté un nombre plutôt impressionant de ces matériels BlueCoat (comme on l’a vu des modèles différents installés chez les deux « seuls » FAI du pays), avec une architecture d’upload automatique des logs notamment… avec à côté de ça ces trous énormes. Bref, ça se discute et effectivement, dur d’avoir des certitudes.

      Ensuite, évidemment, comme tout, tout dépend de l’utilisation qui est faite du matériel. On peut utiliser un couteau de cuisine pour faire de la bonne bouffe comme pour trucider des innocents :) Se pose simplement la question de l’éthique de la vente, de la politique impulsée par les États-Unis et de son respect par les entreprises qui y sont implantées…

  2. « Mais comme ces technologies sont interdites dans la majeure partie des démocraties (en France, le code des Postes et Télécommunications est formel) »

    C’est beau de vivre au pays des bisounours, faut prendre quoi comme pillule et ça coute combien (ou rapporte) ???

    « ça nous dérange encore plus quand le dictateur en question envoie les snipers et autres chars d’assaut tirer sur sa propre population. »

    VOS SOURCES SVP !

    ICI il y a une version complétement différente ?
    http://www.agoravox.tv/tribune-libre/article/alain-soral-retour-de-syrie-31436

    « Avec l’aide de nos amis de Telecomix et le soutien d’activistes plus ou moins affiliés à Anonymous, nous vous livrons aujourd’hui de nouveaux éléments sur l’implication de BlueCoat dans la mise en place des outils de censure et de répression de la Syrie. »

    LOL

    « Nous avons étudié le fonctionnement de la censure syrienne un peu plus en détail »

    RELOL

    Alcatel (français) Lucent (américain) : cet ami qui vous veut du bien
    http://bluetouff.com/2010/08/14/alcatel-lucent-cet-ami-qui-vous-veut-du-bien/

    Vous feriez mieux de vérifier le « réseau français » à moins que cela ne soit pas dans vos cordes…

    N.B. : reflets des mass medias serait à ajouter avant dot info

    N.B. : geek et politique, la cata…

    1. @free :
      Voici quelques sources journalistiques, mais au vu de la vidéo de M. Soral, j’ai bien peur qu’elles ne te conviennent pas, j’anticipe que tu leur objecteras d’être le fruit des médias pro-sarkozistes au sein desquels tous les journalistes sont payés directement pour lui fournir de la propagande. En voici tout de même quelques unes :
      http://www.lemonde.fr/proche-orient/article/2011/08/29/l-armee-syrienne-a-ouvert-le-feu-dans-la-ville-de-rastan_1564660_3218.html#ens_id=1481132
      http://www.lemonde.fr/proche-orient/article/2011/08/26/plusieurs-morts-dans-les-manifestations-du-vendredi-en-syrie_1564004_3218.html#ens_id=1481132
      http://www.lemonde.fr/proche-orient/article/2011/08/26/plusieurs-morts-dans-les-manifestations-du-vendredi-en-syrie_1564004_3218.html#ens_id=1481132
      http://syrie.blog.lemonde.fr/2011/08/25/le-caricaturiste-ali-farzat-enleve-et-blesse-par-des-moukhabarat/

      Tu peux chercher sur Google « Ali Farzat » ou encore « Ibrahim Qashoosh », peut-être trouveras-tu encore davantage de sources concordantes. Quoique. Google est sûrement à la solde du gouvernement Sarkozy…

      Si cela ne te satisfait pas, peut-être que des dizaines de vidéos provenant du terrain et prises par tous types d’individus te donneraient-elles des éléments supplémentaires ? Tu en trouveras une compilation ici :
      http://bruteforce.dk/yt/

      Et puis, je suis sympa, je t’en sélectionne une vraiment plus sympa que les autre, en espérant que le manque de stabilité du cameraman ne t’embêtera pas trop :
      http://www.youtube.com/watch?v=QnqiQICRD8w

      Pour terminer, si « l’étude de la censure syrienne un peu plus en détail » te fait « lol » et « relol », je serais ravi d’avoir l’occasion de répondre à tes questions, si tu as des doutes, par quelques éléments techniques concrets. Tu peux également lire cet échange entre un Allemand de Telecomix et un citoyen Syrien (en Anglais) :
      http://stephanurbach.de/2011/08/mail-aus-syrien/

      En espérant avoir comblé quelques un de tes doutes :)

      1. @KheOps, Merci pour les liens, mais ne t’inquiété pas pour moi, je ne doute pas que des répressions fassent des morts, d’ailleurs, pas besoin d’aller en Syrie, l’ile se trouvant juste à côté de la France suffit ;)

        Emeutes en Angleterre: 3 hommes tués à Birmingham
        http://www.rtl.be/info/monde/europe/815230/emeutes-en-angleterre-3-hommes-tu-s-birmingham

        Un cinquième mort dans les émeutes en Grande-Bretagne
        http://www.ouest-france.fr/ofdernmin_-Un-cinquieme-mort-dans-les-emeutes-en-Grande-Bretagne_6346-1905330-fils-tous_filDMA.Htm

        Et comme tu peux le constater, je ne vais pas chercher les infos sur des sites underground ;)

        Je ne nie pas que l’oligarchie Syrienne filtre et veule faire taire les dissidents (on en est tous là, quelque soit l’endroit sur cette planéte), mais je remarque que l’on est très mal placé pour juger quoique ce soit, JAMAIS je n’irai dans un autre pays leur dire comment il faut faire, PAR CONTRE ICI, entre bon français, je t’invite à regarder cette conférence
        http://www.youtube.com/watch?v=WeZh2Pl3wXw

        Comme je pense que tu n’auras certainement pas le temps et surtout l’envie de la suivre, prend seulement 6 mn pour écouter cette ITV http://www.reporterre.net/spip.php?article1651

        ;)

        1. Dommage, on ne peut pas éditer son message, donc comme j’entends déjà que les émeutes en angleterre n’ont rien à voir avec la Syrie, je rajouterai cela sur la Libye http://www.michelcollon.info/ (et ne me dite pas que c’est Kadhafi qui a bombardé son pays) et je ne parle pas de la belle démocratie imposé en Irak, ex-Yougoslavie et autre Afghanistan ….

          1. @KheOps ▼ « BlueCoat maître artisan de la CENSURE syrienne » mais c’est pas grave, rendors-toi ☠ ⚠☢ ✖ 【ツ】

          2. Oui, la Syrie censure l’Internet. Personne ne nie que cela se passe en Europe également, et nous ne sommes évidemment pas indifférents.

            Je comprends que cela puisse être vu comme de l’ingérence, mais il se trouve qu’effectivement la censure et d’espionnage à l’insu des utilisateurs d’Internet, et ce quel que soit le pays, ne nous plaisent pas trop. Il se trouve qu’en Syrie cela entraîne en ce moment meurtres et tortures, ce qui « motive » d’autant plus à s’y intéresser, et à étudier la complicité éventuelle d’entités occidentales (ne font-elles pas de l’ingérence, elles aussi, d’ailleurs ?). Nous n’avons pas la prétention de donner des leçons parce que nous sommes européens, ils s’agit juste d’un ensemble d’individus regroupés autour d’une certaine idée de la liberté d’expression.

            Je crois qu’on s’écarte définitivement du sujet, donc je m’arrête là mais libre à toi de venir discuter sur l’IRC de Reflets :)

      1. Ca m’étonnerai que les 200 touristes viennent faire un tour ici, mais je dirai que l’oligarchie Syrienne essaye de censurer les dissidents 2.0 (moyenne d’age 20-30 ans) en même temps on aurait pas le même probléme ici ?

  3. @free : je trouve que ces commentaires sont un peu courts, un peu _délibérément_ courts : isoler quelques phrases assez secondaires par rapport aux vraies infos de l’article et y plaquer une assertion définitive, tsss.

    « geek et politique … » ben oui, c’est un peu ce qu’on vient chercher sur reflets & co. On aimerai d’ailleurs bien lire, ou tout simplement croiser dans la rue, plus de « boulangers et politique », de « plombiers et politique », de « médecins et politique », de « flics et politique », voire de « troll et politique »

    cdt,

    un lecteur

    1. @LS. (Camarade), tu préférerais que j’écrive un pavé à la Bourdieu, je préfére la vacance de son disciple Wacquant et désolé si je pique les geeks avec mes raccourcis mots clefs en ayant espérai que cette fonction ne reset pas les lecteurs de cette espace, je crois que je me suis trompé est que votre hardware n’a rien à envier aux systèmes propriétaires.

      sudo apt-get install irl

      boulangers et politique : FN

      plombiers et politique : FN

      médecins et politique : UMP – PS

      flics et politique : FN – UMP – PS

      troll et politique : Communiste – Libertaire – Anarcho – Gauchiste – Greenwashers …

      1. Bonsoir. Je suis en Syrie et je confirme tout ce qui a ete dit dans l’article au niveau censure et des tests effectues moi aussi avec des amis Francais. il n’y a que le htpps qui passe a condition de se debarasser du proxy syrien en bidouillant mais bref c’est le seul moyen de communiquer normalement actuellement ou soit l’utilisation d’un vpn que vous semblez remettre en question. Cela ne vous semble pas un moyen securise ?

        1. Bonjour. Oui, cela peut permettre de sécuriser (un peu mieux) ses transmissions. Il faut tout de même faire attention à certaines choses, par exemple:
          – qui est à l’autre bout du VPN ? Cette personne/entreprise a en théorie accès à l’ensemble du flux que vous générez, il ne faut donc pas faire confiance à n’importe qui. Par exemple, Ultrasurf devrait être évité (voir http://reflets.info/syrie-ultrasurf-ou-comment-le-gouvernement-syrien-piege-ses-opposants-avec-un-malware/ ).
          – Même si les machines gouvernementales ne sont pas capables de déchiffrer les données passant dans un VPN chiffré, il est possible de savoir que vous utilisez effectivement un VPN, cela pouvant éventuellement vous rendre suspect (ce n’est qu’une supposition).

          Merci d’avoir confirmé nos informations :)

  4. Cette analyse de l’infrastructure réseau de la Syrie est pour moi très très sommaire. Et le résultat montre que cette censure est également très sommaire. Mon entreprise censure encore plus l’accès au web que la syrie, d’après vos dires !

    1/ Ne pas monitorer autre chose que le port 80 est totalement stupide puisque la mise en place d’un simple Proxy HTTP perso dans une zone réseau « non-censurée » suffirait à bypasser le proxy national…
    2/ dans vos derniers paragraphes, rien n’affirme la présence de matériel de DPI. C’est une idée que vous transformez en affirmation. Un proxy couplé à un simple firewall est tout à fait capable d’effectuer toutes les actions que vous décrivez (règles de routage, de blocage, d’archivage…). Même iptables en est capable ! Si DPI il y avait, beaucoup d’autres protocoles seraient impactés. Pas seulement le 80.
    3/ Comment vous devinez les modèles de proxy simplement via le header ? Cela serait une grosse faille de sécurité du matériel que de donner cette information…
    4/ Ce billet montre le grand amateurisme avec lequel vous effectuez vos tests et rédigez vos articles, avec des termes plus pompeux les uns que les autres.
    5/ Je n’approuve absolument pas le filtrage du net, où qu’il soit situé (bon ok, en situation professionnelle c’est compréhensible). Cependant la configuration réseau que vous avez « hacké » (ahahah :’)) et que vous décrivez ne ressemble en rien à une infrastructure massive de surveillance de réseau.

    Essayez d’être plus professionnels et d’affirmer des dires seulement quand vous avez la possibilité d’apporter des preuves tangibles et non des expériences « simples » mettant en avant des « résultats » simples, dignes d’un cours de sécurité de n’importe quelle école d’informatique en 1ère année.

    Vous n’avez pas « dévoilé les systèmes de censure et de surveillance syriens » , vous avez lu un cours de 1ère année d’école d’info.

    Si vous avez vraiment été aidé d’amis « de chez Anonymous », je ne peux que pleurer de leur compétence…

    1. Rzzzzzzz….

      Notre zénitude est à son degré maximum sur ce sujet et vous pourrez écrire ce que vous voulez, nous ne nous départirons pas de notre sourire de bouddha.

      :)

      Libre à vous de penser ce que vous voulez, nous ne vous imposons rien. Ni la lecture de nos papier, ni leurs conclusions.

      Vous êtes un homme libre. N’est-ce pas là une nouvelle merveilleuse ?

    2. 1/ Ce n’est pas si « stupide », lorsque 90% de la population ne sait pas ce qu’est « HTTPS » et surfe donc naïvement en HTTP avec les configurations par défaut. En outre, les requêtes TCP 80 sont redirigées vers les BlueCoat dès l’arrivée au routeur de STE, i.e. tu peux toujours utiliser un proxy, de toute façon ta requête passera par le BlueCoat avant-coup. Ça suffit amplement pour récolter énormément de choses. Pour un ordre d’idées factuel, la quinzaine de proxies BlueCoat SG-9000 (hors SCS donc) produisent au total entre 15 et 90Go de logs gzippées chaque jour, chacun traitant quotidiennement entre 15 et 45 millions de requêtes HTTP et servant plus de 60 000 IPs. Ça plus un peu de phishing (je n’invente pas) pour récupérer quelques mots de passe supplémentaires, c’est efficace. Bien entendu il existe comme (presque) toujours des moyens de bypasser, mais ce qui en fait un moyen de surveillance/censure de masse, ce sont les habitudes qu’ont les gens, qui ne connaissent pas ces moyens. Ajoute à cela que parmi les IPs observées figure probablement une bonne quantité de cybercafés (l’Internet à la maison est relativement peu répandu), où une bonne quantité de personnes passent chaque jour.

      2/ Nous avons bien dit que nous suspections la présence de ce matériel. Je t’accorde que c’est ici clairement une simple supposition. Mais voyant le cas de la présence de matériel Amesys en Libye, elle n’est pas du tout farfelue.

      3/ nmap -A -O est ton ami :) Aurions-nous dû afficher l’output ? Tu peux tester, il confirme clairement le modèle des machines.

      4/ ? rien de factuel auquel je peux répondre ?

      5/ Ça tombe bien, nous non plus !

      On aurait pu (et même peut-être dû ?) être bien plus techniques, apporter plus d’éléments, etc. mais il n’est pas tout le temps simple de trouver le bon équilibre lorsqu’on rédige. Les quelques résultats de tests que nous présentons ne sont que l’épiderme de deux mois d’« investigation », mais nous ne somme pas sur un site 100% technique.

      Si tu tiens tant infirmer nos propos, libre à toi de te renseigner sur le pays, les habitudes des gens, la structure du réseau, et d’apporter des éléments techniques factuels et précis supplémentaires :)

  5. Vous sous-estimé le système de filtrage mise en place.

    Le port 80 est le plus surveillé et filtré car c’est le plus utilisé et les règles de filtrage sont clairement établis.

    Mais en fait tout les ports sont surveillés par contre les règles de filtrage n’étant pas établi définitivement sont en cours de réalisation au fur et à mesure de la tentative de piratage sans oublier qu’il y a malgré tout stockage de toute l’information lors de cette tentative d’accès.

    Donc les règles sont dynamiques et bien fixe sur le port 80 donc facilement visible.

    sur les autres ports, les règles se mettront en place au fur et à mesure des besoins liés aux tentatives d’accès désigné comme « pirate » ou « illégale ».

    Dans ce système de filtrage, rien n’est perdu et tout est stocké permettant une analyse a-postériori.

    Pour conclure sur la philosophie de ce type de filtrage intelligent:

    Plus vous tenterez de passez, Plus le filtrage sera efficace.

    1. Bonjour ! Merci de ces éclairages, évidemment ces quelques expérimentations ne permettent pas de mettre en lumière l’ensemble du système de surveillance, il est très probable qu’il existe des choses qu’on ne voit pas, et il serait intéressant d’en apprendre davantage. Par exemple, à quels types d’outils ont-ils recours pour espionner les ports en dehors du port 80 ? Stocker le trafic sur l’ensemble des ports utilisés requiererait en outre beaucoup d’espace de stockage, il me paraît à première vue techniquement difficile de poursuivre la logique de « on stocke tout » à l’infini. Ou alors ne sont stockées les requêtes qui matchent certains mot-clés uniquement ? Et comment se fait l’analyse a posteriori ?

      Pour terminer sur la phrase « Plus vous tenterez de passez, Plus le filtrage sera efficace. » : c’est le jeu du chat et de la souris qui a toujours existé et existera toujours entre ceux qui veulent surveiller et ceux qui veulent se soustraire à cette surveillance, il me semble :) Tenter de passer, en étant discret, pour retarder la détection au maximum. Hé ouais, il faut se battre pour pouvoir s’exprimer librement !

  6. Ping : raiselink.com

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *