Relevé sur le blog Cert-Lexsi et surtout sur Twitter, il semble qu’un fournisseur d’accès chinois ai laissé un stagiaire faire mumuse avec des routes BGP hier soir semant pas mal de confusion chez de nombreux fournisseurs d’accès du monde entier. Ce dernier se serait lamentablement planté sur une ou deux rules ce qui a eu pour effet de mettre un chouette bazar sur le Net pendant une vingtaine de minutes.

En indiquant de mauvaises routes, l’erreur s’est rapidement propagée à d’autres fournisseurs d’accès chinois et par jeu d’interconnexions entre FAI, ces routes se sont également propagées chez d’autres fournisseurs d’accès à l’étranger.

Cet incident nous rappelle assez ce qui s’était passé au Pakistan, où un fournisseur d’accès un peu zèlé etait parvenu à plonger Youtube dans le noir.

Ces manipulations sur le protocole de routage BGP sont utilisées en Chine pour filtrer des sites web au niveau des DNS. C’est ce genre d’outils que la France entend employer pour le filtrage des sites pédopornographiques. Il serait au passage assez intéressant de savoir combien de millions 20 minutes de chaos sur les DNS mondiaux peuvent coûter aux entreprises.

Billets aléatoirement en relation... ou pas:

• Copwatch : le fiasco de Claude Guéant
• Deep Packet Inspection au Canada
• Facebook mérite des claques
• Normalisation européenne d’outils de filtrage du Net : la position de officielle de l’AFNOR
• L’ombre de l’Opus Dei plane sur le projet de normalisation européen du filtrage du Net

Fort de la connaissance des attentes de ce client particulier, Google ne pouvait cependant pas délaisser le plus grand marché en volume du monde. Etre présent en Chine était tout ce qu’il y a de plus normal pour le géant américain, quitte à laisser à la frontière ce qu’il défend ailleurs, la Neutralité du Net (vous savez ce truc « fourre tout » aux yeux de Nathalie Kosciusko-Morizet). Du coup, Google, se pliant aux volontés du gouvernement Chinois a filtré, pendant plusieurs années de nombreux sites étrangers ou locaux en rapport de prêt ou de loin avec les droits de l’Homme (ONG, opposants …).

Puis un jour, comme ça, sans raison apparente, le loup montre les crocs. Google dénonce une attaque d’une ampleur impressionnante et surtout, utilisant des techniques très sophistiquées … aussi sophistiquées que celles qu’emploirait un Etat qui pratique la cyber guerre offensive. Des comptes mails d’opposants politiques du gouvernement chinois auraient été la cible de ces attaques. Ce, peu après la condamnation du Dr Liu Xiaobo à 11 ans de prison pour « subversion ».

Y’a comme de l’eau dans le gaz …

Google.cn a décidé en réaction de lever tout filtrage, les internautes chinois, bien que filtrés par le firewall gouvernemental maison (une sorte de filtre parental anti subversion un peu sur le modèle de celui qu’on souhaite nous faire avaler en France), trouvent via Google réponse à leurs questions les plus « subversives ».

En réaction, le gouvernement chinois répond par ce qu’il sait faire le mieux … la censure.

Je sais pas vous mais moi, j’ai comme envie de demander des comptes au député Myard sur le modèle de société numérique qu’il défend.

Alors ça veut dire quoi une attaque « hautement sophistiquée » ?

Loin de moi l’idée de mettre en cause les conclusions de experts en sécurité que Google et les 32 autres sociétés étrangères qui ont été la cible de ces attaques, mais il convient cependant de comprendre de quoi on parle avant de se faire sa propre opinion.

Depuis fin décembre, une poignée d’importantes vulnérabilités ont été découvertes dans le format PDF de l’éditeur logiciel américain Adobe (qui comte lui aussi parmi les cibles de ces attaques). La vulnérabilité exploitée par les assaillants n’aurait été patchée par Adobe que mardi dernier… mais nous allons revenir là dessus un peu plus loin.

Le format d’Adobe aurait donc été exploité pour inoculer un cheval de Troie, et collecter d’impressionnantes quantités d’information de ces cibles, ce trojan nommé Trojan.Hydraq , stocké sous forme de dll sur les systèmes cibles ouvre un backdoor (une porte dérobée) et collecte tout ce qu’il peut sur la machine infectée. Jusque là rien que de l’hyper classique en somme… Sauf que la cible, à en croire ce qui s’est écrit ici ou là, c’était le code sources d’applications (dont certaines applications web de Google… comme Gmail), révélant ainsi des informations sensibles exploitables par les intrus en vue de récupérer des informations personnelles ciblées, celles de militants en faveurs de la protection des des droits de l’Homme.

Disclose or not disclose ?

Cette petite histoire nous démontre, une fois de plus, que la sécurité par l’obscurantisme et le manque de correctif immédiat à une vulnérabilité peut couter cher, très cher. Aussi je me permet de revenir sur l’interessant, car factuel, billet d’Eric Freyssinet relatif à la décision de la cour de Cassation qui réprime “le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données”. Derrière cette décision, le full disclosure, ou le fait de dévoiler au public les mécanismes et le code en vue de l’exploitation d’une faille de sécurité est dans une certaine mesure directement visé. Tout est dans l’intention pourrait on retenir. Cependant, le responsible disclosure (dévoiler publiquement l’exploit après que la vulnérabilité ai été patchée), ça ne fonctionne pas toujours. Ainsi, il peut se passer plusieurs jours, semaines, mois ou années avant qu’une réponse ne soit apportée. C’est ce laps de temps qu’il convient de réduire un maximum, mais que beaucoup trop d’éditeurs logiciels (propriétaires ou libres), laissent filer… si la faille n’est pas publique, après tout … pourquoi se presser ? Le full disclosure, quoi qu’on en dise a une vertu, il agit comme un véritable coup de pied aux fesses et contraint à la réponse rapide, avant une éventuelle exploitation.

Attention, je ne dis pas que si le zero day exploit qui a été utilisé pour les attaques dont nous parlons ici avait été rendu public, ceci ne serait pas arrivé… Le format PDF suscitte l’attention de beaucoup d’experts en sécurité informatique depuis environ un an. Nombreux sont ceux qui s’accordaient à dire que ceci allait arriver, l’histoire leur a donné raison … faut dire qu’ils avaient de sérieux arguments (null, mais sérieux … humour de geek … désolé)  et les yeux se portaient alors sur JBIG2…. Bravo Cédric, une fois de plus, tu ne t’étais pas planté. Les tâtonnements des uns et des autres ont finalement permis à des personnes pas super bien intentionnées d’aboutir à ce zero day exploit qui aurait été utilisé pour attaquer Google et une trentaines de sociétés poids lourds du Net.

Méditons … que ce serait il passé si ce zero day avait été dévoilé publiquement avant son exploitation ?

Encore une fois, je sais que je radote, mais la sécurité est un process, pas produit, les modèles de réponses que l’on souhaite apporter à ces problématiques, surtout quand elles concernent une vulnérabilité dont on sait que la propagation pourrait être répide et coûteuse doivent être définis par un cadre légal, cependant je m’interroge aujourd’hui sur une mesure d’interdiction… même si les arguments de la cour de Cassassion sont de bon sens.

Billets aléatoirement en relation... ou pas:

• L’Europe souhaite encadrer l’exportation de ventes d’armes numériques
• BBox Fibre by Numéricable… smells like p0wn4ge
• Vers une HADOPI du Jihad ou le jour où Nicolas Sarkozy a baissé son pantalon face au terrorisme
• Social DDoS : merde on a perdu Bachar #OpSyria
• Du troll Google vs privacy

Liu Xiaobo, l’un des plus célèbres activistes chinois, docteur, universitaire, et défenseur de la cause des droits de l’homme, vient d’être condamné à 11 années de prison. Liu Xiaobo est emprisonné depuis juin 2009 pour « incitation à la subversion du pouvoir de l’état », il est à l’origine de la campagne Charter 08 en faveur de la réforme constitutionnelle dans son pays. Les autorités chinoises ont intelligemment choisies le jour de Noel pour procéder à son incarcération dans un verdict éclair de 10 minutes où Liu Xiaobo a été reconnu coupable de « subversion », une charge que le gouvernement chinois réserve à ses opposants politiques.

Amnesty International dénonce la 35e condamnation depuis 2003 connue pour des griefs similaires et dénonce la volonté de Pékin d’écarter ses opposants par ce biais. L’ONU, l’Europe, les USA et la quasi majorité des démocraties condamnent Pékin de manière unanime. La blogosphère chinoise et internationale ainsi que de nombreuses ONG protestent contre l’emprisonnement de Liu Xiaobo qui se veut pour le gouvernement chinois, une véritable mise en garde pour tous les défenseurs des droits de l’homme et activistes. Le gouvernement chinois exerce actuellement une terrible censure sur Internet, la presse et les moyens de communications chinois pour faire passer la pilule.

Ici, en France … on se demande toujours où le député Myard voulait en venir avec sa nationalisation du Net… « puisque la Chine l’a fait »

• Lire l’article du Guardian
• Signer la pétition pour la libération de Liu Xiaobo
• Photos du procès
• Le Google News chinois à propose de Liu Xiaobo … et oui le filtrage ça ressemble à ça.

Google News (.cn) ne propose qu’une seule source d’information « officielle » concernant la condamnation de Liu Xiaobo

Billets aléatoirement en relation... ou pas:

• L’Europe souhaite encadrer l’exportation de ventes d’armes numériques
• Vers une HADOPI du Jihad ou le jour où Nicolas Sarkozy a baissé son pantalon face au terrorisme
• Gérard Longuet en VRP de la mort en Libye
• #SarkoCensure : Twitter se justifie de manière pitoyable et accentue sa censure
• LOPPSI préparait aussi la campagne électorale de Nicolas Sarkozy

Ah ils ont bon dos les hackers chinois ! Selon 01Net, l’administration française aurait été la cible « d’attaques d’envergure » … en fait il s’agirait tout simplement d’un pauvre cheval de troie infectant un document Word : et voilà notre administration française 0wned par MsWord … avec tout ce qu’on claque en licence antivirus, bravo, ça fait désordre.

On est quand même en droit de se demander si c’est les chinois qu’il faut fustiger ou les choix crétins de notre administration qui n’arrive toujours pas à fonctionner comme une entreprise du 21e siècle et qui utilise encore un OS de merde (Windows), des formats pourris (MsWord) et des méthodes archaïques (word est un outil à peine bon à rédiger des cv alors qu’un simple outil de gestion de contenu en ligne open source et gratuit offrirait un degré de sécurité bien plus satisfaisant des vraies fonctionnalités collaboratives).

Effectivement, un truc gratuit comme Linux, sur les postes des fonctionnaires, c’est pas assez troué, donc du coup on met du Windows et on va pleurer que des vilains hackers chinois ont déclaré une guerre cybernétique à l’Etat Français. Permettez moi de sourire, je trouve ça ridicule et affligeant. Messieurs, vous avez décidé de confier des systèmes sensibles à un OS tout juste bon à jouer au solitaire ou à la dame de pique .. alors ne venez pas pleurer quand un intrus qui se fait passer pour un chinois et qui est peut être votre voisin de palier met nos systèmes en échec.

Et quand Francis Delon, le secrétaire général de la défense nationale confie au quotidien le Monde « On peut parler d’affaire sérieuse », on se re-bidonne un bon coup en se demandant comment un fichier Word a pu faire tant de dégâts pour qu’une personne comme ce monsieur en soit amené à faire de telles déclarations à la presse…

Billets aléatoirement en relation... ou pas:

• BBox Fibre by Numéricable… smells like p0wn4ge
• Social DDoS : merde on a perdu Bachar #OpSyria
• Du troll Google vs privacy
• De la polémique Google sur la vie privée
• HADOPI : An interoperable and modular XML bullshit

La Chine serait elle en passe de devenir le calvaire de Microsoft ? C’est une question que l’on peut se poser à juste titre à la lecture des chiffres publiés par ZDNet China qui font état d’un taux de pénétration ahurissant de Linux qui totalise 1/3 du parc global et d’une croissance annuelle de 30,9%.
Soutenu par Sun et d’autres grandes entreprises, cette croissance agace sérieusement Steeve Ballmer et quand Microsoft est agacée, la firme de Redmont signe de gros chèques. Ce sont ainsi 10 millions de dollars sous forme d’investissement proposés au gouvernement chinois pour « promouvoir l’adoption des technologies de l’information par les élèves, de la maternelle aux lycées » qui ont été consentis par Microsoft.

Le gouvernement Chinois, de son côté, arbore fièrement 85% de son parc sous Linux.

La Chine pour Microsoft, c’est vraiment pas gagné.

Billets aléatoirement en relation... ou pas:

• iHackLaw: et si on ouvrait les données de Légifrance ?
• Microsoft abandonne (pas encore) Silverlight au bénéfice d’HTML5
• Open World Forum 2010 (du 30 septembre au 1er octobre)
• J’ai un ami chinois qui est mort de rire
• Android App Inventor