mardi 4 janvier 2011

Opération massive de phishing sur Gmail en Tunisie

Ecrit le 29 juin 2010
par un auteur invité

Slim Amamou est citoyen tunisien.
Informaticien de profession, il est connu pour ses prises de position contre la censure de l’internet.



Depuis quelques semaines mes compatriotes en Tunisie ont commencé a se plaindre de difficultés d’accés a Gmail et des rumeurs ont commencé a circuler sur une censure prochaine de Gmail. Depuis le mois d’avril une vague de censure a frappé Flickr, Wat.tv, Blip.tv, Metacafe.com, Agoravox.fr et un nombre incalculable de blogs : ils n’en fallait pas plus pour créer un climat de paranoia… qui va s’avérer justifié.

Lundi dernier, deux personnes que je suis sur twitter ont commencé lancer des alertes concernant une vague de phishing, captures d’écran à la clé, montrant qu’un accés a l’adresse mail.google.com affichait des messages d’erreur étonnants… de EasyPHP.




EasyPHP est certes une solution puissante, mais en aucun cas en mesure de faire tourner un service comme Gmail. Il s’agissait donc sans l’ombre d’un doute d’un faux Gmail, réalisé par des pirates incapable de configurer correctement EasyPHP, et agissant à priori sur l’ensemble du réseau internet en Tunisie.

Pour confirmer cette théorie, il fallait d’abord écarter la possibilité d’un malware (un logiciel malveillant) installé sur une machine, et qui aurait détourné le navigateur vers un faux site Gmail destiné à récupérer le mot de passe de ses victimes afin de pirater leur compte mail. Ce n’était en l’occurrence pas le cas.

Reste ensuite à voir si ce problème apparait de la même façon pour tout le monde. Après enquête, les soupçons se confirment et mettent en évidence deux cas de figure : ceux qui depuis des semaines n’arrivent pas à se connecter à Gmail, et ceux à qui Gmail demande sans cesse de s’authentifier.

Que ce soit sur leur lieu de travail ou à leur domicile, la situation est la même, et chose intéressante, ceux qui ont expérimenté cela sur leur lieu de travail indiquent que quand ce problème arrive avec Gmail, tout le monde est touché en même temps.

A ce stade de mon enquête, l’hypothèse que j’avais retenu était une attaque informatique par DNS cache poisoning, une technique consistant à tromper les DNS, les aiguilleurs de l’internet, et acheminer un internaute cherchant à accéder à un site vers un autre site. Jusqu’ici, je n’étais pas victime de tout cela, ce qui pouvait s’expliquer par le fait que j’utilise un DNS qui n’est pas celui de mon fournisseur d’accès. En fait la situation est pire que cela.

Quelques jours plus tard, alors que je tente de me connecter à Gmail – ce que je fais en mode sécurisé (https), voilà que mon navigateur refuse de s’y connecter.

Après une rapide vérification technique, je constate que le port HTTPS est bloqué sur toutes des adresses IP de mail.google.com



En clair, l’accès à la version sécurisée de Gmail est censuré. La version non sécurisée de Gmail, elle, semble fonctionner, mais étonnamment, elle me demande de m’authentifier alors que je m’y étais connecté il y a à peine une demi heure.



Un détail cependant attire mon attention : l’url auquel on accède lors d’une requète vers mail.google.com :

http://mail.google.com/accountsServiceLoginservicemail&passivetrue&rmfalse&continuehttp3A2F2F mail.google.com2Fmail2F3Fhl3Dfr26tab3Dwm26ui3Dhtml26zy3Dl&bsvzpwhtygjntrz &scc1<mpldefault<mplcache2&hlfr.htm

Pour un néophyte, cela n’est pas vraiment parlant, mais les experts ne s’y tromperont pas : le « .htm » situé à la fin de l’adresse trahit bel et bien une tentative de phising.

Ma première expérience avec cette campagne de phising sur Gmail ne durera que quelques minutes avant que les choses ne reviennent à la normale, mais il y a de quoi s’inquiéter : l’adresse IP est la bonne (voir la capture d’écran nmap), pour réaliser une telle opération, il faut un contrôle total du réseau en Tunisie, des câbles jusqu’au protocole HTTP.

Attention, je n’accuse absolument pas une agence gouvernementale tunisienne ou l’armée d’être l’auteur de ce détournement de Gmail… ça pourrait aussi bien être la CIA. Après tout la plupart de nos routeurs sont des Cisco et Cisco est obligé, de par la loi américaine, de fournir des backdoors aux agences américaines. J’aime bien cette idée. Disons que c’est la CIA. [ndlr: avec le Patriot Act la CIA n'aurait pas besoin de procéder ainsi et pourrait obtenir ces informations bien plus discrètement]

La méthode de la CIA serait donc de bloquer l’accès sécurisé a Gmail afin que les Tunisiens soient obligés d’y accéder en mode non sécurisé, de les détourner vers une machine faisant tourner un faux Gmail sous EasyPHP, pour leur voler leur mot de passe et ainsi prendre possession de leur compte mail.

Furieux à l’idée que le KGB puisse ainsi flouer les tunisiens, je me suis mis en tête de surveiller et tracer de façon systématique cette campagne de phising sur Gmail à l’aide d’un crontab qui vérifie si le port 443 est ouvert ou s’il est bloqué – cela peut sembler être du chinois pour beaucoup d’entre vous, mais en gros, s’il est bloqué, c’est qu’un phising est en cours, et s’il est ouvert, c’est que tout va bien.

En une journée de surveillance de cette opération, sans doute menée par la NSA, un shéma récurrent semblait se dessiner : le phising a lieu toutes les deux heures et dure précisément 5 minutes. J’ai entre temps reçu la preuve que cette opération dure depuis des mois, certaines personnes affirmant que cela fait plusieurs années que cela est en place. Un conseil : changez vos mot de passe, le FBI vous espionne (ou la DST, encore une fois, rien ne permet d’incriminer la CIA plus qu’autre chose).

Par exemple, voici les horaires de passage du train de phishing dans mon sous-réseau 41.226.255.* :

08:35 UTC+1
10:35 UTC+1
12:35 UTC+1
14:35 UTC+1
16:35 UTC+1
18:35 UTC+1
20:35 UTC+1
22:35 UTC+1
00:35 UTC+1
02:35 UTC+1
04:35 UTC+1
06:35 UTC+1

Consignes si vous êtes en Tunisie : laisser passer le train. Allez prendre un café et revenez, ça ne dure que 5min. Et surtout activez l’option sécurisé de Gmail et changez vôtre mot de passe.

Entre temps, plusieurs personnes m’ont fait part de problèmes similaires sur Facebook et YahooMail… La suite au prochain épisode…

UPDATE

Contacté par nos soin, Google confirme implicitement tout cela (pas la CIA ou le KGB, bien sûr, ça c’est une touche d’ironie qui semble échapper à beaucoup) et nous a répondu rapidement. Nous vous livrons ici l’email que nous a fait parvenir son porte parole pour la région.

« Nous sommes conscient que beaucoup de gens dépendent de Gmail et nous nous attelons à le rendre le plus sécurisé possible, et cherchons sans cesse de nouvelles façon de le faire. Nous avons par exemple récemment activé par défaut le HTTPS sur Gmail.

Afin de sécuriser l’utilisation de Gmail, nous vous recommandons de ne saisir votre mot de passe que sur les pages dont l’adresse commence par https:// et si un message d’alerte quelconque survient concernant un certificat, de ne surtout pas aller plus loin.

Nous encourageons tous les utilisateurs à utiliser HTTPS, qui offre une protection contre le ‘packet sniffing‘ et d’autres tentatives destinées à surveiller et manipuler le trafic réseau. Si vous ne pouvez accéder momentanément à Gmail en utilisant HTTPS, attendez quelques minutes avant de recommencer à nouveau.

Si vous pensez que votre compte a été compromis, nous vous incitons à changer immédiatement votre mot de passe et à vous assurer que votre email secondaire est toujours valide (ces données sont accessibles à travers les réglages de compte Google). Si vous ne pouvez plus accéder à votre compte, vous pouvez récupérer un accès en répondant aux questions de sécurité

samedi 17 juillet 2010

Steve Jobs : « Tous les smartphones ont des points faibles »



Il n'y a pas de scandale d'antenne de l'iPhone 4 (« AntennaGate »), mais tous les clients du dernier né d'Apple auront quand même droit, jusqu'au 30 septembre, à une coque de protection gratuite. Voilà, en substance, ce qu'a annoncé Steve Jobs durant la conférence spéciale tenue à Cupertino ce vendredi aux Etats-Unis.

Le patron d'Apple s'est montré très offensif durant toute sa présentation. Avant même l'arrivée du grand chef, l'entreprise à la pomme a commencé, tout en ironie, par diffuser une vidéo parodique tournant en ridicule l'affaire de l'antenne de l'iPhone 4... Et invitant les clients à « ne pas acheter d'iPhone 4 si vous n'en voulez pas, et à le ramener si vous ne l'aimez pas. » Ambiance, ambiance...

Sans nier que son téléphone pouvait connaître une baisse de signal lorsqu'on le tient d'une certaine façon, Steve Jobs a plusieurs fois insisté sur le fait que le problème de chute des barres est commun à tous les fabricants de téléphones. Et a tenu à montrer trois mobiles concurrents victimes du phénomène lorsqu'on les prend en main : un Blackbery Bold 9700 (Blackberry OS) un HTC Droid Eris (Android) et un Samsung Omnia 2 (Windows Mobile).

samedi 12 juin 2010

Tunisie : Certification Microsoft gratuite



Le centre de formation et de certification NetSystem s’est associé au Microsoft Innovation Center pour offrir à des étudiants la gratuité des frais pour le passage des examens de leur certification.

Dans le cadre de la collaboration de Microsoft (Microsoft Innovation Center) avec les universités de Tunisie, l’antenne locale de la firme de Redmond vient d'offrir plusieurs vouchers de certifications aux étudiants. Ces vouchers dont les tarifs peuvent arriver jusqu’à 200 dinars, sont une sorte de tickets permettant à leur propriétaire d’accéder à l’examen de certification professionnelle. Plusieurs universités bénéficient de ce programme comme l’Institut Supérieur d’Informatique de l’Ariana (ISI) ou l’Institut National des Sciences Appliquées et de Technologie de Tunis (INSAT).

Pour + d'information consulter : http://www.netsystem.com.tn