La question de la cyber souveraineté est une question importante pour de nombreux pays. Pour la Corée du Nord, on ne peut pas dire que ce soit une préoccupation majeure, et c’est peu de le dire. On pourrait qualifier l’architecture Nord Coréenne d’architecture en entonnoir. L’absence de réseau filaire, très probablement liée à l’absence d’opérateurs privés a conduit la Corée du Nord à des choix singuliers. Au coeur de l’architecture : deux satellites. Mais voilà, ces deux satellites ne sont pas sous contrôle nord coréen.

Nous avons vu dans le dernier article que le petit bout d’Internet Nord Coréen était pour le moins fragile niveau DNS. Mais ceci n’est probablement pas grand chose face au choix de laisser à un opérateur tiers, d’une puissance étrangère, avoir le droit de vie ou de mort sur chaque octet qui rentre ou qui sort du territoire national. Il est très surprenant pour un état réputé si paranoïaque et  qui dit avoir développé son propre système d’exploitation (en tout cas niveau serveurs, ça utilise surtout du CentO), de constater que toute la connectivité est assurée par un opérateur chinois et un opérateur américain :

• AS10099 : China Unicom (Hong Kong) Operations Limited 
• AS22351 : INTELSAT GLOBAL SERVICE CORPORATION

3 des 4 réseaux nord coréens sont routés par China Unicom et un l’est par Intelsat depuis maintenant un mois (source). Et il s’est bien passé quelque chose les 13 et 14 mars dernier. Des indisponibilités globales laissent à penser que le réseau nord coréen a essuyé une importante panne, peut-être même une attaque. On peut s’étonner de voir, à la suite de cet incident, Intelsat router une partie du trafic nord coréen. Peu après, le 20 mars, c’est Séoul qui semblait être la cible d’attaques ciblant les AS de groupes média et de compagnie énergétiques. S’agissait-il d’une attaque menée par la Corée du Nord ? Il est difficile de ce prononcer à ce stade. Les adresses IP des attaquants semblaient venir de Chine, mais Séoul y a vu la main de Pyongyang. Mais quelle est la capacité d’attaque réelle de la Corée du Nord ? En a t-elle seulement une ? Vu le nombre restrein d’IP et l’absence du tuyaux à la disposition de Pyongyang, on imagine qu’elle doit recourir à des services étrangers (du cloud chinois ou russe, des botnets off-shore ?), et via des tunnels chiffrés, si elle veut mener une attaque massive par déni de service sans trop attirer l’attention du monde entier.

Vu la manière dont est routé l’internet nord coréen, on se doute que chaque octet qui entre ou sort de Corée du Nord est attentivement disséqué par les chinois en premier lieu puis par les américains, on imagine donc mal des attaques partir de Corée du Nord, ça serait un peu voyant. On peut décemment penser que le tout petit bout d’internet Nord Coréen est attentivement scruté, et pas par les nord coréens qui concentrent probablement leur surveillance sur le Kwangmyong, lui même non connecté à Internet.

Difficile dans ces conditions de mener une attaque depuis son propre réseau. Si Pyongyang veut mener une attaque, il devra la mener depuis l’extérieur pour ne pas éveiller les soupçons de China Unicom et d’Intelsat. Il n’est alors pas délirant de penser que les coréens mènent des attaques depuis la Chine. Mais à l’heure actuelle, la Corée du Nord nie avoir mener ces attaques sur Corée du Sud en mars dernier. Le scénario le plus noir serait que la Corée du Nord était alors en pleine répétition en perspective d’une intervention militaire appuyée par des attaques informatiques de grande envergure.

L’autre scénario plausible, c’est que le « pupetmaster » de l’attaque essuyée par la Corée du Sud n’a jamais été nord coréen. Cependant cette thèse semble infirmée par les observations de Renesys pour qui les attaques du 20 mars dernier impactaient à la fois la Corée du Sud et la Corée du Nord. Mais là encore difficile à partir de simples mesures réseau d’expliquer avec exactitude ce qu’il s’est passé. La Corée du Nord peut très bien avoir subi une attaque d’un tiers pour ensuite attaquer par rebond la Corée du Sud. Il y a fort à parier aujourd’hui que la Chine et les USA en savent bien plus que ce qui est divulgué au grand public.

Rappelons que les USA s’octroient le droit d’attaquer militairement toute puissance menant des cybers attaques contre ses intérêts. Vu les horreurs constatées hier, si on suit ce raisonnement crétin, n’importe quel taré sur cette planète avec quelques notions de réseau pourrait être en mesure de déclencher une guerre. En espérant que ces quelques informations éveillent votre sens critiques sur les propagandes multiples qui rythment l’escalade de ces derniers jours et conservez un oeil sur ce qu’il va se passer aujourd’hui et demain (date à laquelle on soupçonne la Corée du Nord de vouloir lancer ses missiles).

Billets aléatoirement en relation... ou pas:

• La revue de presse du pire des internets et des internets du pire
• #Numéricable : escroquerie à la non restitution de matériel imaginaire (poke @SAV_numericable)
• Affaire Tsarnaev : la surveillance de masse des citoyens américains révélée par un ex-agent du FBI
• Comment Claude Guéant utilisait les fonds secrets du Ministère de l’intérieur
• Boston : les experts sont formels, il se pourrait bien que ce soit un attentat

AVERTISSEMENT : Si après la lecture de ce billet, il vous passait par la tête de plonger dans le noir la Corée du Nord, pensez plutôt à l’impact ridicule de ce type d’action et mettez la en perspective avec le fait de trouver un moyen de faire en sorte que les nords coréens puissent accèder à Internet. Méditez ceci : « les gens qui se parlent ne se font pas la guerre ».

Il y a déjà bien deux ans de ça, je m’intéressais avec l’ami @fo0_ au tout petit bout d’Internet Nord Coréen. Les internautes n’y sont pas légion. Le pays a d’ailleurs son propre réseau IP renfermé sur lui même (non relié à Internet, il est plutôt une sorte de gros intranet national ultra surveillé), le Kwangmyong. Aujourd’hui, avec les frasques de Kim Jong Un, les regards du monde entier se braquent sur la Corée du Nord. Avec la perspective d’un conflit armé, et les menaces d’un conflit thermonucléaire, on imagine mal une intervention qui ne soit pas accompagnée d’une attaque informatique dans les règles.

La Corée du Nord est soupçonnée d’avoir mené une attaque informatique d’envergure sur la Corée du Sud le 20 mars dernier. Cette attaque aurait paralysé de nombreux sites dont ceux de grands médias nationaux (KBS, MBC et YTN) ainsi que des sites bancaires. Ce sont au total plus de 30 000 machines qui ont été victimes de cette attaque que Séoul soupçonne orchestrée par le Bureau général de reconnaissance de la Corée du Nord. S’il semble à en croire Séoul que la Corée du Nord a bien une cyber doctrine offensive, le pays semble cependant très vulnérable à des attaques qui pourrait paralyser le peu d’infrastructures dépendant du réseau Internet.

Relativisons tout de suite. La Corée du Nord ne semble pas avoir d’infrastructures « vitales » qui dépendent du réseau Internet (du moins de ce qu’on peut en voir, de ce qui est public). Il est aussi probable que les infrastructures offensives nord coréennes ne soient même pas situées sur son territoire.

Allons donc visiter ce réseau pour voir ce que ça peut donner en terme défensif… et vous allez vite comprendre que ce n’est pas brillant.

L’IANA a donné à la Corée du Nord quelques IPv4. Elles se situent sur les plages :

• 175.45.176.0/24
• 175.45.177.0/24
• 175.45.178.0/24
• 175.45.179.0/24

Tous les sites sur ces plages IP sont des sites gouvernementaux ou apparentés. Les noms de domaines en .kp (l’extension de la Corée du Nord) sont eux aussi tous plus ou moins directement liés au gouvernement nord coréen.

Lors de mes tests, 14 machines répondaient sur le range 175.45.176.1/24. Il s’agit des IP :

• 175.45.176.3
• 175.45.176.6
• 175.45.176.8
• 175.45.176.9
• 175.45.176.10
• 175.45.176.12
• 175.45.176.15
• 175.45.176.16
• 175.45.176.65
• 175.45.176.67
• 175.45.176.70
• 175.45.176.71
• 175.45.176.129
• 175.45.176.131

C’est d’ailleurs le range le plus intéressant. Outre le fait que les nord coréens semblent être des grands fans de CentOs, sur ces 14 machines, au moins 10 d’entre elles comportent des vulnérabilités critiques. C’est cette plage qui accueille l’une des deux IP de KCNA, le site de la Korean Central News Agency (KCNA.kp) et qui distile la propagande de Pyongyang. Le host nous indique ces 2 adresses IP :

• kcna.kp has address 175.45.177.74
• kcna.kp has address 175.45.176.71

La machine 175.45.176.71 présente une version du serveur web Apache qui n’est pas à jour et semblant vulnérable aux CVE suivants :

• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2412
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0434
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0425
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0408
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-6750

… et pas mal d’autres…

On trouve ensuite des serveurs DNS sur les IP

• 175.45.176.8
• 175.45.176.9
• 175.45.176.15
• 175.45.176.16

Ces 4 machines présentent une version de Bind outdatée (une 9.8.1), vulnérable à une tripotée de dénis de service :

• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2266
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3868
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3817
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4313
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1667

La machine 175.45.176.8 est le NS1 des sites suivants :

La machine 175.45.176.9 est le NS2 des sites suivants :

La machine 175.45.176.15 est le NS1 des sites suivants (ici c’est surtout sur les sous-domaines que l’on trouve des sites) :

La machine 175.45.176.16 est le NS2 des sites suivants (toujours sur des sous-domaines):

A en croire ce que nous avons sous les yeux, et à en croire cette requête Google, frapper ces 4 machines mettrait dans le noir tout ce qui porte une extension en .kp… et comme ces 4 machines présentent toutes les vulnérabilités mentionnées un peu plus haut, nous pouvons décemment conclure qu’il est redoutablement simple de plonger tous les sites nord coréens dans le noir le plus total.

Conclusion : les DNS sont le talon d’Achille de la Corée du Nord. L’internet Nord Coréen ne survivrait pas 5 minutes à l’attaque d’un script kiddie. L’infrastructure DNS de tout le pays repose sur 4 serveurs dont la version de Bind est trouée. La moindre attaque informatique sur cette pseudo infrastructure virerai à la déculottée et à l’humiliation pour Pyongyang.

Je reviendrai probablement plus tard sur la Corée du Nord et sur les firewalls « nationaux » (sous FreeBSD) qui eux aussi présentent toutes les qualités d’un bon emmental Suisse mais aucune de ce que l’on attend d’un firewall décent…

Billets aléatoirement en relation... ou pas:

• Corée du Nord : les DNS c’est une chose, mais il y a encore peer
• Gérard Longuet en VRP de la mort en Libye
• Plus rien ne sera jamais comme avant
• Copwatch : le fiasco de Claude Guéant
• NSA : No Such Article

C’était l’affaire du siècle, en fait un splendide effet flamby… Un hashtag sur Twitter dont personne n’aurait entendu parler (#UnBonJuif) si ce dernier n’avait pas été pointé du doigt par une association probablement en mal de communication et qui a décidé de le sur-médiatiser. Les tweets accompagnant ce hashtag étaient probablement manifestement antisémites (je dis probablement car je ne les ai moi même pas vu). Il était donc normal d’agir mais d’agir en faisant en sorte que ceci demeure discret. Le hic, c’est que la Ministre a suivi attirant les stroboscopes sur ce qui allait vite devenir un ouragan dans un verre d’eau.

L’affaire est pourtant bien moins grave que les appels au meutre du GUD, mais deux poids deux mesures, la lutte contre l’homophobie n’est pas une priorité pour Fleur Pellerin, la lutte contre l’antisémitisme méritait des mesures bien plus fortes… En attendant les « casseurs d’homos » on leur fout la paix, et ils continuent, impunément sur Facebook à véhiculer la haine.

Aujourd’hui, l’UEJF découvre la censure géolocalisée de twitter et reproche à Twitter de ne pas avoir retiré les tweets incriminés pour le monde entier. En pratique, les tweets incriminés ne sont pas visibles pour les utilisateurs déclarant résider en France mais le sont pour les utilisateurs déclarant résider ailleurs dans le monde. Et c’est normal attendu que Twitter, entreprise de droit américain, avec ses moyens, fait cesser l’infraction, là où elle est reconnue comme infraction, là où il y a une plainte. En outre, il faut comprendre qu’aussi bêtes que soient ces tweets, ils n’en sont pas pour autant illégaux dans de nombreux pays, dont les USA.

L’action de censurer ces tweets aux personnes se déclarant françaises sur le réseau social ce n’est pas assez pour l’UEJF qui comme le rappelle Numerama, demandait 38,5 millions d’euros de dommages et intérêts !! … Ça fait cher le tweet et le hashtag à la con.

L’UEJF a décidé de déposer une nouvelle plainte. Outre que les effets de communications là dessus commencent à me taper sur le système, outre que j’ai un peu de mal à digérer les cyber patrouilles associatives de Twitter qui se substituent à des OPJ, je commence à être blasé de ces associations qui pensent qu’elles vont se mettre à imposer leur morale ou même la législation française au monde entier.

Au lieu de poursuivre son action en accentuant la pression pour contraindre Twitter à fournir les identités des personnes se rendant coupable de propos manifestement illicites, l’UEJF continue sa campagne de communication, vous allez voir, tout est dans les mots :

« Les associations requérantes viennent de découvrir avec stupéfaction et un profond dégoût que la société Twitter avait menti au juge des référés et aux médias en affirmant avoir rendu inaccessibles les tweets en cause« .

« L’intégralité des tweets litigieux demeurent encore aujourd’hui accessibles depuis le territoire français pour quiconque se déclare de nationalité non française lors de l’ouverture ou de la modification d’un compte Twitter« 

Et Numérama de rapporter :

« Twitter fait preuve d’un rare mépris et d’une singulière arrogance » en limitant la portée de la décision française aux usagers français

De la stupéfaction, du dégoût, le « mensonge » de Twitter (qui s’efforce avec ses moyens de faire cesser l’infraction sans devenir censeur mondial), du mépris, de l’arrogance…l’UEJF ne manque pas de superlatifs. Si toi internaute tu ne te sens pas indigné après avoir lu ce communiqué, c’est que t’es un gros antisémite.

Bref l’UEJF va trop loin et tout le foin autour de cette non affaire commence à devenir ridicule. Il existe probablement des moyens plus efficaces pour contraindre Twitter à exécuter une décision de justice que ce genre de communiqués de presse comprenant des positions franchement discutables et lancés à tour de bras.

Billets aléatoirement en relation... ou pas:

• Affaire Tsarnaev : la surveillance de masse des citoyens américains révélée par un ex-agent du FBI
• Comment Claude Guéant utilisait les fonds secrets du Ministère de l’intérieur
• Boston : les experts sont formels, il se pourrait bien que ce soit un attentat
• #MariagePourTous : Le site cartonrougepourtaubira.com est-il un honeypot ?
• #MariagePourTous : Carton rouge pour Frigide Barjot et vos données personnelles

L’épisode SFR aura mis en évidence une pratique manifestement dangereuse de la part de certains fournisseurs d’accès. Il ne fallait pas sortir de l’EPITA pour se rendre compte que ce type de pratiques étaient une atteinte manifeste à la neutralité du Net. Pour vous en convaincre, nous allons voir ce qu’un fournisseurs d’accès Internet spécialisé dans les réseaux Wifi publics s’autorise par le même genre de procédé. Vous allez voir, c’est particulièrement sale et révoltant.

C’est Zachary Henckel, sur son blog, qui nous fait part de ses découvertes. Tout commence par la visite du site d’Apple où Zachary se retrouve avec une pub assez disgracieuse en bas de page, une publicité pour File Free Online, quelque chose qui n’a donc pas grand rapport avec la firme à la pomme. On imagine mal les web graphistes d’Apple placer de cette manière un bandeau en bas de page :

Ceci éveille donc assez naturellement son attention, il pense dans un premier temps que sa machine a été infectée par un adware. Mais très vite, après avoir testé sur la même machine depuis une autre connexion la même page, il se rend compte que c’est bien le fournisseur d’accès, CMA Communications, qui lui joue un tour.

Et la blague ne s’arrête pas là. En changeant de machine, Zachary Henkel se retrouve confronté au même problème. Exit la thèse du malware, et après vérification que ce ne pouvait pas être le routeur qui était infecté, il faut se rendre à l’évidence, il se passe bien quelque chose de louche sur le réseau wifi de CMA Communication… Examen du code source des pages… et paff :

Cette petite ligne injecte un Javascript venant d’un serveur tiers qui n’a pas grande chose à voir avec apple.com ni avec les autres sites visités: node.r66t.com. Et on retrouve cette injection sur toutes les pages « défigurées » par ces publicités. Leur format et leur placement est un véritable hijacking, jugez plutôt du rendu sur le site du Huffington Post :

CMA Communication injecte donc ses propres publicités dans les pages visitées par ses utilisateurs, et ce de la pire manière qui soit. Une manière pour lui de tirer un bénéfices des sites web visités par ses utilisateurs.

Techniquement, on est assez proche de ce que nous avons vu avec SFR . Sauf que SFR fait ça à des fins d’optimisation sur les réseaux mobiles. Avec CMA Communication, nous avons le parfait exemple des dérives possibles quand on met en place ce genre de dispositifs. Evidemment les utilisateurs ne sont pas les seuls lésés. Les éditeurs de sites (y compris ceux qui ne truffent pas leurs pages de publicités) se retrouve chez ce « FAI » avec leurs pages défigurées par des placements publicitaires disgracieux. Il y a là une captation de valeur indue de la part de CMA communication qui sort totalement de son rôle de fournisseur d’accès en délivrant systématiquement des messages altérés à ses utilisateurs… Une pratique inacceptable.

Questionné sur cette pratique CMA Communication a préféré conserver le silence ! Et malheureusement pour Zachary Henkel, aux USA seuls les éditeurs ont le moyen de se retourner contre CMA communication. Le parasitage que peut entrainer ce genre de pratique peut avoir des conséquences « surprenantes ». Imaginez vous sur le site Debian.org avec une belle publicité pour Windows 8…

La FCC s’est déclarée incompétente mais devant les protestations de Zachary Henkel, CMA Communication a modifié ses conditions générale d’utilisation pour y inclure cette pratique (Section 10), une section que Zachary Henkel trouve, à juste titre, terrifiante! Et oui, avant ils faisaient bien ça dans le dos des utilisateurs.

Ars Technica s’est fait l’écho de cette affaire.

Merci à @MCCob, @internetthought et @fiberguy pour l’info.

 

Billets aléatoirement en relation... ou pas:

• Comment Claude Guéant utilisait les fonds secrets du Ministère de l’intérieur
• Boston : les experts sont formels, il se pourrait bien que ce soit un attentat
• #MariagePourTous : Le site cartonrougepourtaubira.com est-il un honeypot ?
• #MariagePourTous : Carton rouge pour Frigide Barjot et vos données personnelles
• #DCRI vs #Wikipedia : le secret défense à géométrie variable

Voici le billet qui marquera l’épilogue de mes folles aventures avec Bouygues, mon (ex) opérateur téléphonique et mon (ex) fournisseurs d’accès à Internet. Aujourd’hui un cap dans la nullité la plus absolue a été franchi. Après avoir attendu un mois, après que tu m’ais assuré que mon immeuble était relié au câble, que tu m’envois un technicien… un mois sans connexion, ce dernier s’est finalement aperçu que mon adresse aurait dut être fermée depuis 18 mois ! Bref le câble… on oublie. Un mois pour ça !

Au final, je suis passé en ADSL chez Free qui aura mis 4 jours à s’exécuter avant ma première synchro :

• Freebox commandée le samedi après midi
• Ligne construite le lundi
• Première synchro le mardi

… et oui, 4 jours… avec un dimanche au milieu.

Aujourd’hui je m’aperçois que Bouygues continue à me prélever  :

• mon abonnement Internet dont je ne jouis plus (mettons… la résiliation arrive mais c’est quand même gonflé de le prélever avec l’historique de notre relation pour le moins tumultueuse)
• la ligne téléphonique que j’ai résilié le mois dernier
• une autre ligne téléphonique mobile

… soit au total, quand même plus de 87 euros

Ça fait peu cher pour au final 2h de communication non ?

Mais tu ne t’arrêtes pas là. J’ai naïvement cherché à consulter à quoi correspondaient ces prélèvements, histoire de vérifier ce que je paye et le mettre en perspective avec les services qu’on « m’offre ». Et là boum !

J’ai donc profité de ce champs destiné au mot de passe pour te transmettre un petit message… en clair qui passe dans le POST… SSL toussa :

Qu’une auth plante momentanément, c’est une chose, mais voir ça en 2013 chez un fournisseur d’accès Internet, c’est la loose absolue.

Billets aléatoirement en relation... ou pas:

• La non-affaire Bluetouff vs ANSES
• Corée du Nord : les DNS c’est une chose, mais il y a encore peer
• La communauté JoeMobile by SFR a le sens de l’humour
• Comment j’ai déménagé (ou pas) ma connexion Bbox fibre (sans fibre) – Acte 5 : le SCF – poke @bouyguestelecom
• Comment j’ai déménagé (ou pas) ma connexion Bbox fibre (sans fibre) – Acte 4 : HellTernaite – poke @bouyguestelecom