Corée du Nord : les DNS c’est une chose, mais il y a encore peer

cyber-warfareLa question de la cyber souveraineté est une question importante pour de nombreux pays. Pour la Corée du Nord, on ne peut pas dire que ce soit une préoccupation majeure, et c’est peu de le dire. On pourrait qualifier l’architecture Nord Coréenne d’architecture en entonnoir. L’absence de réseau filaire, très probablement liée à l’absence d’opérateurs privés a conduit la Corée du Nord à des choix singuliers. Au coeur de l’architecture : deux satellites. Mais voilà, ces deux satellites ne sont pas sous contrôle nord coréen.

Nous avons vu dans le dernier article que le petit bout d’Internet Nord Coréen était pour le moins fragile niveau DNS. Mais ceci n’est probablement pas grand chose face au choix de laisser à un opérateur tiers, d’une puissance étrangère, avoir le droit de vie ou de mort sur chaque octet qui rentre ou qui sort du territoire national. Il est très surprenant pour un état réputé si paranoïaque et  qui dit avoir développé son propre système d’exploitation (en tout cas niveau serveurs, ça utilise surtout du CentO), de constater que toute la connectivité est assurée par un opérateur chinois et un opérateur américain :

Capture d’écran 2013-04-14 à 11.12.51

3 des 4 réseaux nord coréens sont routés par China Unicom et un l’est par Intelsat depuis maintenant un mois (source). Et il s’est bien passé quelque chose les 13 et 14 mars dernier. Des indisponibilités globales laissent à penser que le réseau nord coréen a essuyé une importante panne, peut-être même une attaque. On peut s’étonner de voir, à la suite de cet incident, Intelsat router une partie du trafic nord coréen. Peu après, le 20 mars, c’est Séoul qui semblait être la cible d’attaques ciblant les AS de groupes média et de compagnie énergétiques. S’agissait-il d’une attaque menée par la Corée du Nord ? Il est difficile de ce prononcer à ce stade. Les adresses IP des attaquants semblaient venir de Chine, mais Séoul y a vu la main de Pyongyang. Mais quelle est la capacité d’attaque réelle de la Corée du Nord ? En a t-elle seulement une ? Vu le nombre restrein d’IP et l’absence du tuyaux à la disposition de Pyongyang, on imagine qu’elle doit recourir à des services étrangers (du cloud chinois ou russe, des botnets off-shore ?), et via des tunnels chiffrés, si elle veut mener une attaque massive par déni de service sans trop attirer l’attention du monde entier.

Vu la manière dont est routé l’internet nord coréen, on se doute que chaque octet qui entre ou sort de Corée du Nord est attentivement disséqué par les chinois en premier lieu puis par les américains, on imagine donc mal des attaques partir de Corée du Nord, ça serait un peu voyant. On peut décemment penser que le tout petit bout d’internet Nord Coréen est attentivement scruté, et pas par les nord coréens qui concentrent probablement leur surveillance sur le Kwangmyong, lui même non connecté à Internet.

Difficile dans ces conditions de mener une attaque depuis son propre réseau. Si Pyongyang veut mener une attaque, il devra la mener depuis l’extérieur pour ne pas éveiller les soupçons de China Unicom et d’Intelsat. Il n’est alors pas délirant de penser que les coréens mènent des attaques depuis la Chine. Mais à l’heure actuelle, la Corée du Nord nie avoir mener ces attaques sur Corée du Sud en mars dernier. Le scénario le plus noir serait que la Corée du Nord était alors en pleine répétition en perspective d’une intervention militaire appuyée par des attaques informatiques de grande envergure.

L’autre scénario plausible, c’est que le « pupetmaster » de l’attaque essuyée par la Corée du Sud n’a jamais été nord coréen. Cependant cette thèse semble infirmée par les observations de Renesys pour qui les attaques du 20 mars dernier impactaient à la fois la Corée du Sud et la Corée du Nord. Mais là encore difficile à partir de simples mesures réseau d’expliquer avec exactitude ce qu’il s’est passé. La Corée du Nord peut très bien avoir subi une attaque d’un tiers pour ensuite attaquer par rebond la Corée du Sud. Il y a fort à parier aujourd’hui que la Chine et les USA en savent bien plus que ce qui est divulgué au grand public.

Rappelons que les USA s’octroient le droit d’attaquer militairement toute puissance menant des cybers attaques contre ses intérêts. Vu les horreurs constatées hier, si on suit ce raisonnement crétin, n’importe quel taré sur cette planète avec quelques notions de réseau pourrait être en mesure de déclencher une guerre. En espérant que ces quelques informations éveillent votre sens critiques sur les propagandes multiples qui rythment l’escalade de ces derniers jours et conservez un oeil sur ce qu’il va se passer aujourd’hui et demain (date à laquelle on soupçonne la Corée du Nord de vouloir lancer ses missiles).

Chine : BGP dans les mains d’un stagiaire … et paff Internet !

Relevé sur le blog Cert-Lexsi et surtout sur Twitter, il semble qu’un fournisseur d’accès chinois ai laissé un stagiaire faire mumuse avec des routes BGP hier soir semant pas mal de confusion chez de nombreux fournisseurs d’accès du monde entier. Ce dernier se serait lamentablement planté sur une ou deux rules ce qui a eu pour effet de mettre un chouette bazar sur le Net pendant une vingtaine de minutes.

En indiquant de mauvaises routes, l’erreur s’est rapidement propagée à d’autres fournisseurs d’accès chinois et par jeu d’interconnexions entre FAI, ces routes se sont également propagées chez d’autres fournisseurs d’accès à l’étranger.

Cet incident nous rappelle assez ce qui s’était passé au Pakistan, où un fournisseur d’accès un peu zèlé etait parvenu à plonger Youtube dans le noir.

Ces manipulations sur le protocole de routage BGP sont utilisées en Chine pour filtrer des sites web au niveau des DNS. C’est ce genre d’outils que la France entend employer pour le filtrage des sites pédopornographiques. Il serait au passage assez intéressant de savoir combien de millions 20 minutes de chaos sur les DNS mondiaux peuvent coûter aux entreprises.

Google Chinagate : le Net bridé se débride

google chinagateVous n’avez certainement pas pu passer à côté de ce qui agite les relations Googlo chinoises ces deux derniers jours… le ton monte sérieusement. Factuellement, nous avons bien peu d’informations, juste assez pour comprendre la gravité de la situation et la bêtise sans borne de tout filtrage. Replaçons nous dans le contexte. La Chine n’a jamais crié sur tous les toits qu’elle accordait aux internautes la liberté d’expression sur le Net, et encore moins la liberté de s’informer de sources diverses et variées, on ne plaisante pas avec la subversion en Chine.

Fort de la connaissance des attentes de ce client particulier, Google ne pouvait cependant pas délaisser le plus grand marché en volume du monde. Etre présent en Chine était tout ce qu’il y a de plus normal pour le géant américain, quitte à laisser à la frontière ce qu’il défend ailleurs, la Neutralité du Net (vous savez ce truc « fourre tout » aux yeux de Nathalie Kosciusko-Morizet). Du coup, Google, se pliant aux volontés du gouvernement Chinois a filtré, pendant plusieurs années de nombreux sites étrangers ou locaux en rapport de prêt ou de loin avec les droits de l’Homme (ONG, opposants …).

Puis un jour, comme ça, sans raison apparente, le loup montre les crocs. Google dénonce une attaque d’une ampleur impressionnante et surtout, utilisant des techniques très sophistiquées … aussi sophistiquées que celles qu’emploirait un Etat qui pratique la cyber guerre offensive. Des comptes mails d’opposants politiques du gouvernement chinois auraient été la cible de ces attaques. Ce, peu après la condamnation du Dr Liu Xiaobo à 11 ans de prison pour « subversion ».

Y’a comme de l’eau dans le gaz …

Google.cn a décidé en réaction de lever tout filtrage, les internautes chinois, bien que filtrés par le firewall gouvernemental maison (une sorte de filtre parental anti subversion un peu sur le modèle de celui qu’on souhaite nous faire avaler en France), trouvent via Google réponse à leurs questions les plus « subversives ».

En réaction, le gouvernement chinois répond par ce qu’il sait faire le mieux … la censure.

Je sais pas vous mais moi, j’ai comme envie de demander des comptes au député Myard sur le modèle de société numérique qu’il défend.

Alors ça veut dire quoi une attaque « hautement sophistiquée » ?

Loin de moi l’idée de mettre en cause les conclusions de experts en sécurité que Google et les 32 autres sociétés étrangères qui ont été la cible de ces attaques, mais il convient cependant de comprendre de quoi on parle avant de se faire sa propre opinion.

Depuis fin décembre, une poignée d’importantes vulnérabilités ont été découvertes dans le format PDF de l’éditeur logiciel américain Adobe (qui comte lui aussi parmi les cibles de ces attaques). La vulnérabilité exploitée par les assaillants n’aurait été patchée par Adobe que mardi dernier… mais nous allons revenir là dessus un peu plus loin.

Le format d’Adobe aurait donc été exploité pour inoculer un cheval de Troie, et collecter d’impressionnantes quantités d’information de ces cibles, ce trojan nommé Trojan.Hydraq , stocké sous forme de dll sur les systèmes cibles ouvre un backdoor (une porte dérobée) et collecte tout ce qu’il peut sur la machine infectée. Jusque là rien que de l’hyper classique en somme… Sauf que la cible, à en croire ce qui s’est écrit ici ou là, c’était le code sources d’applications (dont certaines applications web de Google… comme Gmail), révélant ainsi des informations sensibles exploitables par les intrus en vue de récupérer des informations personnelles ciblées, celles de militants en faveurs de la protection des des droits de l’Homme.

Disclose or not disclose ?

Cette petite histoire nous démontre, une fois de plus, que la sécurité par l’obscurantisme et le manque de correctif immédiat à une vulnérabilité peut couter cher, très cher. Aussi je me permet de revenir sur l’interessant, car factuel, billet d’Eric Freyssinet relatif à la décision de la cour de Cassation qui réprime “le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données”. Derrière cette décision, le full disclosure, ou le fait de dévoiler au public les mécanismes et le code en vue de l’exploitation d’une faille de sécurité est dans une certaine mesure directement visé. Tout est dans l’intention pourrait on retenir. Cependant, le responsible disclosure (dévoiler publiquement l’exploit après que la vulnérabilité ai été patchée), ça ne fonctionne pas toujours. Ainsi, il peut se passer plusieurs jours, semaines, mois ou années avant qu’une réponse ne soit apportée. C’est ce laps de temps qu’il convient de réduire un maximum, mais que beaucoup trop d’éditeurs logiciels (propriétaires ou libres), laissent filer… si la faille n’est pas publique, après tout … pourquoi se presser ? Le full disclosure, quoi qu’on en dise a une vertu, il agit comme un véritable coup de pied aux fesses et contraint à la réponse rapide, avant une éventuelle exploitation.

Attention, je ne dis pas que si le zero day exploit qui a été utilisé pour les attaques dont nous parlons ici avait été rendu public, ceci ne serait pas arrivé… Le format PDF suscitte l’attention de beaucoup d’experts en sécurité informatique depuis environ un an. Nombreux sont ceux qui s’accordaient à dire que ceci allait arriver, l’histoire leur a donné raison … faut dire qu’ils avaient de sérieux arguments (null, mais sérieux … humour de geek … désolé)  et les yeux se portaient alors sur JBIG2…. Bravo Cédric, une fois de plus, tu ne t’étais pas planté. Les tâtonnements des uns et des autres ont finalement permis à des personnes pas super bien intentionnées d’aboutir à ce zero day exploit qui aurait été utilisé pour attaquer Google et une trentaines de sociétés poids lourds du Net.

Méditons … que ce serait il passé si ce zero day avait été dévoilé publiquement avant son exploitation ?

Encore une fois, je sais que je radote, mais la sécurité est un process, pas produit, les modèles de réponses que l’on souhaite apporter à ces problématiques, surtout quand elles concernent une vulnérabilité dont on sait que la propagation pourrait être répide et coûteuse doivent être définis par un cadre légal, cependant je m’interroge aujourd’hui sur une mesure d’interdiction… même si les arguments de la cour de Cassassion sont de bon sens.

Liu Xiaobo : 11 ans de prison pour le défenseur des droits de l’homme

Liu Xiaobo, l’un des plus célèbres activistes chinois, docteur, universitaire, et défenseur de la cause des droits de l’homme, vient d’être condamné à 11 années de prison. Liu Xiaobo est emprisonné depuis juin 2009 pour « incitation à la subversion du pouvoir de l’état », il est à l’origine de la campagne Charter 08 en faveur de la réforme constitutionnelle dans son pays. Les autorités chinoises ont intelligemment choisies le jour de Noel pour procéder à son incarcération dans un verdict éclair de 10 minutes où Liu Xiaobo a été reconnu coupable de « subversion », une charge que le gouvernement chinois réserve à ses opposants politiques.

Amnesty International dénonce la 35e condamnation depuis 2003 connue pour des griefs similaires et dénonce la volonté de Pékin d’écarter ses opposants par ce biais. L’ONU, l’Europe, les USA et la quasi majorité des démocraties condamnent Pékin de manière unanime. La blogosphère chinoise et internationale ainsi que de nombreuses ONG protestent contre l’emprisonnement de Liu Xiaobo qui se veut pour le gouvernement chinois, une véritable mise en garde pour tous les défenseurs des droits de l’homme et activistes. Le gouvernement chinois exerce actuellement une terrible censure sur Internet, la presse et les moyens de communications chinois pour faire passer la pilule.

Ici, en France … on se demande toujours où le député Myard voulait en venir avec sa nationalisation du Net… « puisque la Chine l’a fait »

Google News (.cn) ne propose qu’une seule source d’information « officielle » concernant la condamnation de Liu Xiaobo

Les hackers chinois ont bon dos !

Ah ils ont bon dos les hackers chinois ! Selon 01Net, l’administration française aurait été la cible « d’attaques d’envergure » … en fait il s’agirait tout simplement d’un pauvre cheval de troie infectant un document Word : et voilà notre administration française 0wned par MsWord … avec tout ce qu’on claque en licence antivirus, bravo, ça fait désordre.

On est quand même en droit de se demander si c’est les chinois qu’il faut fustiger ou les choix crétins de notre administration qui n’arrive toujours pas à fonctionner comme une entreprise du 21e siècle et qui utilise encore un OS de merde (Windows), des formats pourris (MsWord) et des méthodes archaïques (word est un outil à peine bon à rédiger des cv alors qu’un simple outil de gestion de contenu en ligne open source et gratuit offrirait un degré de sécurité bien plus satisfaisant des vraies fonctionnalités collaboratives).

Effectivement, un truc gratuit comme Linux, sur les postes des fonctionnaires, c’est pas assez troué, donc du coup on met du Windows et on va pleurer que des vilains hackers chinois ont déclaré une guerre cybernétique à l’Etat Français. Permettez moi de sourire, je trouve ça ridicule et affligeant. Messieurs, vous avez décidé de confier des systèmes sensibles à un OS tout juste bon à jouer au solitaire ou à la dame de pique .. alors ne venez pas pleurer quand un intrus qui se fait passer pour un chinois et qui est peut être votre voisin de palier met nos systèmes en échec.

Et quand Francis Delon, le secrétaire général de la défense nationale confie au quotidien le Monde « On peut parler d’affaire sérieuse », on se re-bidonne un bon coup en se demandant comment un fichier Word a pu faire tant de dégâts pour qu’une personne comme ce monsieur en soit amené à faire de telles déclarations à la presse…

La Chine en passe de devenir le calvaire de Microsoft

La Chine serait elle en passe de devenir le calvaire de Microsoft ? C’est une question que l’on peut se poser à juste titre à la lecture des chiffres publiés par ZDNet China qui font état d’un taux de pénétration ahurissant de Linux qui totalise 1/3 du parc global et d’une croissance annuelle de 30,9%.
Soutenu par Sun et d’autres grandes entreprises, cette croissance agace sérieusement Steeve Ballmer et quand Microsoft est agacée, la firme de Redmont signe de gros chèques. Ce sont ainsi 10 millions de dollars sous forme d’investissement proposés au gouvernement chinois pour « promouvoir l’adoption des technologies de l’information par les élèves, de la maternelle aux lycées » qui ont été consentis par Microsoft.

Le gouvernement Chinois, de son côté, arbore fièrement 85% de son parc sous Linux.

La Chine pour Microsoft, c’est vraiment pas gagné.