Dis, ça ressemble à quoi un Internet tout pourri ?

ahmadinejadVous n’aurez probablement pas manqué que nous nous intéressons en ce moment pas mal à l’Iran sur Reflets. Les quelques recherches que nous y avons fait nous ont conduit tout droit à la TCI (Telecommunication Infrastructure Company). Déjà spotté par le BlueCabinet ce fournisseur d’accès national concentre à lui seul tout le trafic Internet du pays. La TCI est LE point de centralisation rêvé pour surveiller Internet en Iran.

Pour bien visualiser ce qu’est la TCI, je vous propose de vous pencher sur ces graphs générés par le splendide outil mis à disposition par le Berkman Center for Intenet & Society de l’université d’Harvard (thx Wizasys) :

Capture d’écran 2013-06-05 à 15.54.48

Capture d’écran 2013-06-05 à 15.56.17

Ces schémas mettent en évidence un point de centralisation dont toutes les adresses IP iraniennes dépendent, la marque de fabrique d’un Internet tout pourri, ultra surveillé et passablement censuré.

Ce point de centralisation, c’est l’AS12880, celui sur lequel nous avons trouvé de très intéressantes machines, à savoir 4 ZTE ZXSS10 B200 et 2 HP H3C SR8808 équipés de modules dédiés au filtrage applicatif. Vous trouverez plus d’informations sur ces trouvailles dans l’article publié cet après midi sur Reflets.info.

Ces machines sont situées sur les plages IP attribuées à TCI. Le BlueCabinet de Telecomix rappelle que TCI s’est justement doté d’une infrastructure de surveillance dans laquelle on retrouve tous les grands noms, et qu’au coeur de ce système, on trouve bien du ZTE :

“Mahmoud Tadjallimehr, a former telecommunications project manager in Iran who has worked for major European and Chinese equipment makers, said the ZTE system supplied to TCI was “country-wide” and was “far more capable of monitoring citizens than I have ever seen in other equipment” sold by other companies to Iran. He said its capabilities included being able “to locate users, intercept their voice, text messaging … emails, chat conversations or web access.”‘…

Nous en savons donc maintenant un peu plus sur l’infrastructure de surveillance iranienne, nos questions sont remontées jusqu’à Palo Alto, nous vous tiendrons naturellement informés des réponses des intéressés.

L’Internet Iranien vu de l’intérieur

iran-flag-1A l’approche des élections iraniennes, Internet y est plus que jamais sous surveillance. Je suis donc parti visiter cet Internet tout pourri et j’y ai fait quelques trouvailles intéressantes (US). Je vais tenter de vous les expliquer ici, et avec un peu de chance, nous devrions nous offrir une bonne tranche de rigolade.

Internet est particulièrement filtré et surveillé en Iran, ça nous le savons. En revanche ce que nous savons un peu moins, c’est comment cette censure et cette surveillance sont opérées, et par qui. Quels sont les moyens mis en oeuvre, est-ce efficace etc … autant de questions qui titillent en ce moment pas mal ma curiosité. Du coup, je suis allé voir…

Voici ce qu’il se passe quand un internaute iranien tente d’accéder à Youtube, Facebook ou Twitter par exemple :

XS5.ar2313.v3.6.1.4866.110330.1248# ping facebook.com
PING facebook.com (10.10.34.34): 56 data bytes
^X
--- facebook.com ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss

La requête s’arrête directement sur une ip LAN : 10.10.34.34 et n’aboutit donc pas, Facebook y est censuré (un blocage sur le DNS, un ping sur l’ip de Facebook passe lui sans problème)

Quand on lance un traceroute ver le vrai Internet pas censuré depuis là bas toujours on obtient ceci :

nas

Tout passe par un un VPN en premier hop : vpn.naslco.net, une adresse tenue par ITC avec probablement un DNS menteur. Soyons donc un peu patients, mais ça risque d’être drôle… Je vous explique pourquoi :

Attention, c’est là que ça devient drôle. Ce matin je me rends compte que ce domaine n’est pas déposé… ce que je m’empresse de faire. Et devinez quoi ? http://vpn.naslco.net \o/

$ host 172.31.255.254
Host 254.255.31.172.in-addr.arpa. not found: 3(NXDOMAIN)

et hop :

$ host vpn.naslco.net
vpn.naslco.net is an alias for noway.toonux.com.
noway.toonux.com has address 88.190.52.71

Et voilà maintenant ce que ça donne depuis chez eux :

XS5.ar2313.v3.6.1.4866.110330.1248# ping vpn.naslco.net
PING vpn.naslco.net (172.31.255.254): 56 data bytes
64 bytes from 172.31.255.254: icmp_seq=0 ttl=64 time=2.6 ms
64 bytes from 172.31.255.254: icmp_seq=1 ttl=64 time=2.4 ms
64 bytes from 172.31.255.254: icmp_seq=2 ttl=64 time=2.4 ms
64 bytes from 172.31.255.254: icmp_seq=3 ttl=64 time=2.4 ms
64 bytes from 172.31.255.254: icmp_seq=4 ttl=64 time=2.4 ms

En revanche :

XS5.ar2313.v3.6.1.4866.110330.1248# ping naslco.net
PING naslco.net (88.190.52.71): 56 data bytes
64 bytes from 88.190.52.71: icmp_seq=0 ttl=39 time=149.5 ms
64 bytes from 88.190.52.71: icmp_seq=1 ttl=39 time=147.5 ms
64 bytes from 88.190.52.71: icmp_seq=2 ttl=39 time=147.2 ms
^X64 bytes from 88.190.52.71: icmp_seq=3 ttl=39 time=147.9 ms

Si vous m’avez suivi, il est fort probable que dans les heures à venir, on se paye une bonne tranche de rigolade 😉

naslco

Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran

nuke
Stuxnet targets nuke

Je me doutais bien qu’on avait pas finit d’entendre parler de Stuxnet, ce vers informatique que les experts soupçonnaient depuis le début de viser la centrale nucléaire de Natanz en Iran (et peut-être également celle de Qom dont la confirmation de l’existence nous a été hier révélée par le Cablegate de Wikileaks). La sophistication de ce code, couplée au type d’équipements qu’il attaquait laissait peu de doute sur le fait qu’il ne s’agissait pas d’un petit bidouillage “pour la gloire”.

On apprend aujourd’hui par le quotidien “Le Monde” que Stuxnet pourrait avoir remplis ses objectifs. Une analyse du code poussée avait révélé que Stuxnet était destiné à affecter la vitesse des centrifugeuses en ciblant les convertisseurs de fréquences qui alimentent les moteurs des centrifugeuses, comme l’explique Symantec dans son analyse.
Le président iranien M. Ahmadinejad confirme donc aujourd’hui que le worm a atteint au moins un de ses objectifs :  « Ils ont pu, de manière limitée, mettre hors service plusieurs de nos centrifugeuses avec les logiciels installés sur les pièces électroniques. Mais nos experts ont pu intervenir et ils ne sont plus capables de le faire aujourd’hui”.
Toutefois, Stuxnet ne semble pas encore avoir livré tous ses secrets, son origine toujours mystérieuse et sa singularité technique ont de quoi effrayer autant que fasciner. Enfin, Téhéran a soufflé le chaud et le froid sur l’infection de ses équipements, il reste compliqué de se faire une opinion sur l’impact réel de Stuxnet sur les infrastructures nucléaires iraniennes.

#Cablegate : vers une nouvelle donne des relations diplomatiques mondiales ?

corée
Corée du Nord : pas de ville dans Google Maps

Il faudra du temps, beaucoup de temps pour tenter de démêler le vrai du faux, les supputations des faits, les bons mots de diplomates des positions officielles des États. Aujourd’hui, le monde a découvert les petits dessous de la diplomatie, dans toute sa brutalité. Prenons un peu de recul et imaginons un seul instant de telles révélations en pleine guerre froide. Bien plus que les petites piques de diplomates vis à vis des dirigeants de l’Union Européenne, c’est vers le Moyen-Orien et l’Asie que le monde entier doit avoir les yeux rivés. Les documents diffusés aujourd’hui par Wikileaks font états de missiles d’origine Nord-Coréenne en possession de l’Iran, et de la construction d’un second site nucléaire à Qom en plus de celui de Natanz qui a été cette année la cible de l’une des attaques informatiques les plus élaborées jamais observées. L’Iran est bien en train de s’armer et ceci, en toute logique, inquiète.

Si l’impact du Cablegate pourrait être relativement limité entre les pays occidentaux, c’est bien entre les pays du monde arabe que les relations diplomatiques pourraient être amenées à évoluer. La réaction de Téhéran vis à vis de l’Arabie Saoudite ou du Bahrein, deux pays qui ont demandés à Washington d’intervenir pour mettre fin au programme nucléaire iranien, reste la grande inconnue. Les révélations sur la Turquie, ou le rôle des banques dans le financement d’alQaida pourraient également ajouter une couche de complexité à la situation et créer de nouvelles tensions.

En Asie, du côté de la Corée du Nord, on serait tenté de dire que la mise en évidence de collaboration avec l’Iran sur ses programme d’armement pourrait avoir une influence sur la position de Pékin, dans un contexte déjà particulièrement tendu suite à l’escarmouche entre la Corée du Nord et la Corée du Sud la semaine passée. La Chine va donc jouer un rôle crucial et devra assumer son rôle de pacificateur pour ne pas que la région entière se transforme en poudrière.

Le grand perdant de l’histoire ce soir, c’est l’administration américaine, mise à mal, sa diplomatie va devoir regagner la confiance de ses partenaires et pourrait de fait se trouver au chômage technique pendant de longs mois. Les effets commerciaux non plus ne sont pour l’instant pas non plus mesurés mais on sait que la diplomatie est intimement liées avec les échanges de nature commerciale entre États. Sans confiance, pas de business.

Les jours à venir devraient être passionnants en terme de géostratégie politique, le Cablegate va bien changer la donne, mais bien malin celui qui peut aujourd’hui affirmer pour qui et dans quelle mesure.

#Cablegate : L’Arabie Saoudite et le Bahrein inquiets du programme nucléaire Iranien

nuked
Le programme nucléaire Iranien inquiète

La plus grande fuite de documents secrets de l’histoire n’a pas finit de nous livrer son lot de surprise, on apprend par exemple que l’Arabie Saoudite, par l’intermédiaire du roi Abdallah et le Bahrein, auraient, tout comme Israel, exercé des pressions sur Washington pour mettre fin au programme nucléaire Iranien. Richard Hetu signale même que la Corée du Nord aurait fourni des missiles à l’Iran et que ces derniers auraient la capacité d’atteindre Moscou et d’autres capitales européennes.

On comprend donc aisément que de très nombreuses nations ont intérêt à voir l’Iran mettre fin au programme nucléaire iranien. Du coup, on se demande toujours qui peut bien être à l’origine du vers Stuxnet dont on a aujourd’hui la quasi certitude qu’il visait bien une centrale nucléaire iranienne.

SCADA et Stuxnet ou les prémices d’une scadastrophe

Propagation de Stuxnet

Voici un thème dont j’aimerai beaucoup vous parler librement, mais voilà, ça ne va pas être possible. Sans pratiquer la langue de bois et en essayant de faire très court, je vais simplement ici vous faire part de mon sentiment sur une infection qui cible en ce moment l’Iran, l’Inde, le Pakistan et une poignée d’autres pays en Asie du sud est, mais aussi dans une moindre mesure, les continents européens et américains (voir la carte de la propagation).

SCADA, ou Supervisory Control And Data Acquisition, est un système de surveillance et d’acquisition de données qui existe maintenant depuis plusieurs décennies. SCADA opère le monitoring d’infrastructures, depuis la gestion de l’énergie dans un immeuble jusqu’à la température du noyau d’un réacteur nucléaire en passant par les ponts, les tunnels, les gazoducs, les oléoducs … Ça ne vous rappelle rien ? Moi comme ça, je pense un peu au scénario de Die Hard 4.

En clair, si un pays cherchait à paralyser un autres pays, en vue d’une attaque, SCADA serait une cible de choix. Quand j’ai commencé à m’intéresser au délit de négligence caractérisée, je me suis demandé ce que SCADA était devenu puis l’arrivée du web… et bien c’est une … scadastrophe. On trouve certains systèmes accessibles depuis le Net, dont certains sans authentification. Ils ne sont certes pas simples à trouver, ce ne sont certainement pas les plus sensibles… mais on en trouve, et l’apparition des iPhone et autres blackberry y est surement pour quelque chose. On trouve même des clients lourds SCADA sur Megaupload pour tout vous dire… Certains chefs d’entreprises qui déploient ce genre de systèmes de contrôle aiment bien, en mobilité, garder un oeil sur leur production. Je n’irais pas plus loin pour l’instant sur le sujet et je vous donne, peut être, rendez-vous l’été prochain, pour un talk sur ce thème.

Depuis quelques mois maintenant, une infection virale, Stuxnet, cible des équipements SCADA du constructeur SIEMENS. Sa propagation, particulièrement ciblée sur, semble t-il, les infrastructures iraniennes, a de quoi soulever quelques interrogations. Les autorités iraniennes affirment que le worm n’a pour l’instant pas fait de dégâts, mais ne prépare t-il pas une attaque qui risque d’en faire bien plus (embarque t-il une bombe logique ?). Ce sont plus 30 000 machines en Iran qui en sont actuellement victimes.

Autre interrogation légitime, qui a pu mettre en place une stratégie de propagation aussi ciblée si ce n’est un État ? Certains n’hésitent pas à affirmer qu’il s’agit d’une attaque bien dirigée contre les infrastructures nucléaires iraniennes, et très franchement, je doute qu’elle soit l’oeuvre de militants Greenpeace. S’il est encore un peu tôt pour parler d’une cyber guerre, vu d’ici, ça y ressemble quand même drôlement. Israël et la Russie sont même pointés du doigt, mais à ce jour, rien ne nous autorise à l’affirmer avec certitude. Quoi qu’il en soit, le spectre d’une agence gouvernementale plane sur Stuxnet et il semble que des moyens considérables aient été déployés pour rendre cette infection possible (des moyens humains pour toucher les infrastructures sensibles en leur coeur et des moyens techniques pour coder ce worm).

Techniquement, Stuxnet exploiterait non pas un mais 4 0day (une véritable débauche de moyens !) pour s’engouffrer dans la faille LNK découverte en juin dernier et présente dans pratiquement toutes toutes les versions de Windows (jusqu’à Seven… “c’était mon idée”). Il embarquerait un rootkit et un chiffrement très complexe à casser pour cibler le Simatic WinCC de Siemens, ses systèmes SCADA et tendrait à tenter d’infecter la base de données à laquelle ces solutions se connectent. L’exécution du payload rendue possible par l’exploitation de la faille LNK permet, depuis une simple clef USB liant un appel de lien .ink, de compromettre le système en exécutant du code malicieux… c’est assez imparable et particulièrement élaboré.

Stuxnet inquiète et à juste titre, sa persistance n’est pas faite pour rassurer et on se demande qui pourrait déployer autant de moyens pour compromettre un système aussi sensible, et surtout, dans quel but.

En tout, cas… moi je dis ça mais je dis rien hein… j’en connais qui devraient sérieusement se pencher sur cette question au lieu de faire la chasse aux téléchargeurs de mp3. La compromission de SCADA, c’est tout sauf de la science fiction, et c’est tout sauf rigolo… des vies sont en jeu, et là je ne parle pas des pirates qui tuent les artistes en provocant des AVC par DDoS… mais de vrais méchants qui pourraient tuer de vrais gens.

Libérez Hossein ‘Hoder’ Derakhsha, condamné à mort par le régime iranien

hoderVous noterez qu’il est très rare que je relaie ce genre d’information, mais là, franchement, c’en est vraiment trop. Hossein ‘Hoder’ Derakhshan est un célèbre journaliste et blogger irano Canadien (son blog est le blog en langue persane le plus visité, ce qui lui a valu le surnom de Blogfather). Rien ne peut justifier la condamnation à mort d’Hossein.

C’est un très actif contributeur de Wikipedia sur tout ce qui touche à l’Iran, ce qui lui aura valu une arrestation en territoire Allemand et un interrogatoire par les services secrets iraniens, ce qu’il dénonça publiquement… un affront pour Téhéran.

Emprisonné en Iran depuis le premier octobre 2008, il a été condamné à mort le 22 septembre 2010, pour collaboration avec les gouvernements hostiles au régime.

Vous trouverez sur ce site une pétition contre cette condamnation inacceptable :

http://www.freetheblogfather.org/

Voici donc un communiqué que je vous invite à très largement relayer, tous les bloggers qui sont attachés à la liberté d’expression doivent se sentir concernés par le sort de Hossein :

APPEL D’UNE JEUNE FRANCAISE, SANDRINE MURCIA, POUR LA LIBERATION IMMEDIATE DE SON COMPAGNON
HOSSEIN DERAKHSHAN, BLOGGEUR ET JOURNALISTE IRANO-CANADIEN, DETENU A LA PRISON D’EVIN EN IRAN.
URGENCE : LE PROCUREUR DE TEHERAN A REQUIS LE 22 SEPTEMBRE LA PEINE DE MORT A SON ENCONTRE.

SAUVEZ HOSSEIN !

« Je lance un appel à la communauté internationale pour la libération de mon compagnon, Hossein Derakhshan, bloggeur et journaliste irano-canadien, surnommé Blogfather, arrêté en novembre 2008 et détenu à la prison de Evin, Téhéran, Iran depuis lors. Nous venons d’apprendre hier que le procureur de Téhéran a requis la peine de mort. Les jours qui viennent pourraient voir cette sentence confirmée par les autorités iraniennes, alors même qu’il n’a fait qu’exercer son métier de journaliste.

L’urgence est donc totale.

A l’heure où toutes les grandes nations se réunissent à New York, dans le cadre de l’Organisation des Nations Unies, c’est au Président Ahmadinejad et à toute la communauté internationale, que je souhaite m’adresser pour qu’Hossein retrouve très vite la liberté, au nom des droits de l’homme et de la liberté d’expression des journalistes. »

déclare Sandrine Murcia, fondatrice d’une agence conseil en services numériques, compagne d’Hossein, avec lequel elle partage la passion des nouvelles technologies de l’information et de la communication.

Hossein Derakhshan (né le 7 janvier 1975), mieux connu sous le pseudonyme de « Hoder », est un journaliste irano-canadien, webloger basé à Toronto puis à Paris. Son blog, rédigé en persan et en anglais, est un des blogs persanophones les plus visités. Hossein Derakhshan établit un manuel d’utilisation du blog, en persan, à l’usage des Iraniens. Ce manuel connait un tel succès qu’en un mois, plus de 100 blogs en persan sont créés. Il existe maintenant des dizaines de milliers de blogs en persan. Ce qui lui vaut le surnom de « Blogfather ».

Hossein Derakhshan débute dans le journalisme en écrivant des articles sur Internet dans le journal réformiste Asr-e-Azadegan. En décembre 2000, il part vivre au Canada, à Toronto, où il commence son blog, en persan, le 25 septembre 2001. Son titre : Sardabir : khodam (Editor : myself).

En 2005, Hossein Derakhshan tient un discours à la conférence Wikimania de Francfort, en Allemagne. Alors qu’il quitte l’Allemagne, il est arrêté et interrogé par les services secrets iraniens au sujet de ses contributions au Wikipédia en persan, et au sujet de sonblog. Il refuse alors de présenter des excuses publiques, comme cela lui est demandé. Au contraire, il rédige un rapport sur ce qui vient de lui arriver, qu’il publie sur son blog. Il travaille alors pour Newsweek, the Guardian, New York Times notamment.

Hossein Derakhshan se rend deux fois en Israël et publiquement rend compte de ses voyages dans son blog pour «contribuer au rapprochement entre Tel-Aviv et Téhéran». Pour un citoyen iranien, se rendre en Israël est passible de la peine de mort.

Très attaché à la culture française, aux valeurs des Lumières, il s’installe à Paris avec Sandrine Murcia en 2007 pour exercer son métier de journaliste et de bloggeur. Il se prend de passion pour les philosophes post-modernistes tels Foucault, Derrida et Deleuze.

Hossein Derakhshan retourne à Téhéran en octobre 2008 pour couvrir le 30ème anniversaire de la Révolution Iranienne et les élections présidentielles de juin 2009. Il est arrêté au domicile de ses parents le 1er novembre 2008. Maintenu en isolation et soumis aux interrogatoires, son procès s’ouvre en juin 2010 à huis clos. Sa famille n’a pas été autorisée à assister aux séances de la cour ni à le voir. Le procureur de Téhéran a requis la peine de mort pour Hossein Derakhshan, accusé de collaboration avec des gouvernements hostiles au régime, d’actes de propagande à l‘encontre des intérêts de la République Islamique, d’insultes aux symboles religieux.

Aidez-nous à libérer Hossein Derakhshan !

A Paris, le 23 septembre.

  • Signez la pétition en ligne:

http://www.freetheblogfather.org/

  • Facebook: Libérez Hossein Derakhshan // Free Hossein Derakhshan

http://www.facebook.com/group.php?gid=37459792838

Contact:

Sandrine Murcia
[email protected]
+33 6 25 90 11 58