Syrie

La Syrie, déjà qualifiée “d’Ennemi d’Internet” par Reporters sans frontières, renforce la censure du Net et la cybersurveillance à mesure que le conflit se durcit. Depuis le début du soulèvement populaire, le 15 mars 2011, le régime a mis en place les moyens nécessaires pour tenter d’empêcher la diffusion d’informations et d’images sur la répression. Grâce à une architecture ultra centralisée, le gouvernement syrien a la capacité de couper le pays du reste du monde, comme ce fut le cas le 29 novembre 2012.

Internet en Syrie

  • Population : 22 500 000
  • Nombre d’utilisateurs d’Internet : 5 000 000
  • Taux de pénétration d’Internet : 22,5 %
  • Journalistes emprisonnés : 22
  • Net-citoyens emprisonnés : 18
  • Tué en 2012 : 18

Source : Internet World Stats

Surveillance du réseau

Le réseau Internet syrien est contrôlé par deux entités : la Syrian Computer Society (SCS) et la Syrian Telecommunications Establishment (STE). Fondée par Bachar Al-Assad, la première détient l’infrastructure 3G sur le territoire syrien.

Placée sous la tutelle du ministère des Télécommunications et des Technologies, la seconde, la STE, contrôle la majorité des connexions fixes. À ce titre, elle met son câblage à disposition des autres opérateurs ADSL ou par ligne fixe et modem 56 kbits. Elle gère tous les points d’interconnexion du pays avec le World Wide Web. Lorsque les autorités ordonnent le blocage d’un mot clé, d’une URL ou d’un site, c’est la STE qui transmet les instructions aux opérateurs.

Reporters sans frontières s’est procuré un document inédit : l’appel d’offre publié en 1999 par la STE, pour la mise en place du réseau national Internet en Syrie (PDF, 7,3Mo). À la lecture de ce document, il apparait clairement que le réseau Internet syrien a été conçu pour intégrer des fonctionnalités étendues de filtrage et de surveillance.

Appel d'offre STE

Extrait de l’appel d’offre publié en 1999 par la STE, pour la mise en place du réseau national Internet en Syrie.

Le descriptif général du projet (5.1) précise que la société STE sera la seule structure à assurer la liaison avec le réseau Internet. Cet appel d’offre requiert que le futur prestataire implémente des mécanismes de filtrage et d’inspection du trafic Internet au coeur du réseau. Le chapitre Monitoring system (6-1-8) de l’appel d’offres détaille les mécanismes de surveillance que la STE entend mettre en place. La totalité des requêtes effectuées sur les moteurs de recherches devront être stockées dans une base de données pendant un mois.

Dans la même section figure l’ensemble des activités à surveiller :

  1. Le système doit pouvoir enregistrer les activités en ligne et hors-ligne, VoIP, chat, surf et email, d’une soixantaine d’individus ciblés.
  2. Il doit fournir une copie de l’ensemble des emails échangés en Syrie
  3. Toutes les URLs des pages web visitées doivent être enregistrées.
  4. Le système doit pouvoir surveiller de manière aléatoire le contenu de messages postés sur des forums auquel doit être associé le véritable nom de l’expéditeur.
  5. Les “newsgroups” peu utilisés aujourd’hui mais très courants en 1999, font aussi partie du périmètre de surveillance du régime.

Les connexions chiffrées ne sont pas oubliées puisque le prestataire devra décrire en détails les possibilités d’interception et de blocage de toute donnée chiffrée.

S’il est impossible de savoir si le système mis en place en Syrie au début des années 2000 répond point par point aux demandes extravagantes du cahier des charges, l’appel d’offres témoigne en tous cas d’une volonté farouche des autorités de surveiller le réseau Internet.

Perfectionnement des moyens de filtrage et de surveillance

En 2011, les autorités ajoutent de nouvelles technologies à leur dispositif de surveillance. Le site reflets.info, en collaboration avec le groupe d’activiste Telecomix et le portail tunisien fhimt.com, révèle la présence de serveurs mandataires (proxy) Blue Coat en Syrie et en publie les preuves sur son site : un scan du réseau syrien sous forme de fichier numérique librement accessible pour analyse. Dans un premier temps, la société Blue Coat nie avoir vendu des proxys au gouvernement syrien. Après la publication de preuves par reflets.info, Blue Coat admettra la présence d’au moins treize de ses serveurs en Syrie, semble-t-il vendus par un intégrateur, une société habilitée à revendre et installer des solutions Blue Coat, située à Dubaï. En décembre 2011, la société Blue Coat déclare (finalement?) ne plus fournir de support ni de mises à jour pour les serveurs installés en Syrie et ne pas disposer de moyens pour désactiver ses serveurs à distance. D’après des tests réseau menés en juillet 2012 par le Citizen Lab, les serveurs Blue Coat situés en Syrie ne communiquent plus avec les services de la maison mère, ce qui créditerait la thèse de l’entreprise.

Chronologie des attaques de l’homme du milieu (Man In The Middle)

En février 2011, alors que les printemps arabes débutent, le gouvernement syrien rend à nouveau accessibles les sites qui ont précisément permis aux Tunisiens et aux Égyptiens de se mobiliser : YouTube, Facebook, Twitter, bloqués depuis plusieurs années.

En mai 2011, l’Electronic Frontier Foundation, une ONG de défense des droits numériques, rapporte une première attaque man-in-the-middle visant les utilisateurs syriens se connectant sur la version sécurisée de Facebook (https://www.facebook.com) (cf lexique). Les internautes se connectant à Facebook ont vu apparaître dans leur navigateur une alerte de sécurité leur indiquant que le certificat (le document certifiant l’identité d’un site) n’était pas valide. Ceux qui se sont connectés sur leur compte en dépit de cet avertissement ont permis aux attaquants de récupérer leurs noms d’utilisateurs et leurs mots de passe.

Alerte de sécurité

Un exemple d’alerte de sécurité du navigateur Firefox lors d’une attaque MITM

  • En juillet 2011, la société éditrice de certificat Diginotar détecte une intrusion dans son réseau.
  • Entre juillet et août 2011, le groupe d’hactivistes Telecomix lance l’opération #OPSyria et récupère plus de 54 Go d’informations sur le fonctionnement des serveurs Blue Coat.
  • En août 2011, les versions https de Facebook et de Yahoo! sont bloquées en Syrie et automatiquement redirigées vers des versions non sécurisées (http), forçant ainsi les internautes souhaitant accéder à ces sites à envoyer leurs mots de passe en clair. Lors de ce type de manoeuvres, le seul indice permettant de vérifier que les mots de passe sont chiffrés lors de l’envoi sur Internet est la lettre ‘s’ dans l’URL et le logo d’un cadenas affiché à côté. Les internautes les moins vigilants se font piéger.
  • Fin août 2011, Google détecte l’utilisation d’un certificat de DigiNotar frauduleux en Iran.

Les fichiers récupérés lors de l’#OPSyria laissent supposer que les autorités syriennes ont mis en place des attaques MTIM très évoluées. Les journaux de connexion des serveurs Blue Coat ne devraient normalement pas enregistrer d’informations lorsqu’un internaute accède à un site sécurisé (https). Pourtant, lors de l’accès à des sites parmi les plus consultés en Syrie, ces journaux de connexion révèlent que les serveurs Blue Coat ont enregistré un nombre anormalement élevé d’informations non accessibles en temps normal puisque chiffrées. Cet état de fait est probablement lié au vol de certificats de la société Diginotar..

Attaques ciblées

Les armes numériques dont le régime syrien s’est doté ne se limitent pas à la seule analyse du trafic Internet. Bloomberg et le Citizen Lab rapportent que les autorités syriennes disposent également de méthodes de surveillance extrêmement ciblées.

Un cas emblématique : Karim Taymour

Dans son article “Hackers in Damascus”, le journaliste de Bloomberg Stefan Faris détaille le cas de Karim Taymour, un activiste syrien arrêté et torturé par le régime. L’histoire est la suivante. Le 26 décembre 2011, alors qu’il se rend à un rendez-vous avec l’un de ses contacts, Karim Taymour est arrêté par les forces de police syriennes. Les deux hommes s’étaient donné rendez-vous le matin même par Skype. Mais les autorités ont été aussitôt au courant. Karim Taymour passera 71 jours en détention. Lors de son interrogatoire, alors qu’il refusera de dévoiler ses activités et contacts, l’activiste se verra présenter une pile de plus de 1000 pages détaillant conversations et fichiers échangés sur Skype. Malgré la résistance qu’il oppose à ses bourreaux, ceux-ci en savent déjà beaucoup grâce à son ordinateur.

En janvier 2012, moins d’un mois après la libération de Karim Taymour, Morgan Marquis Boire, un expert en sécurité chez Google, récupère l’ordinateur d’un membre d’une ONG basée en Syrie. Ce dernier pense que son matériel a été infecté. Après une analyse poussée, Morgan Marquis Boire découvre que l’ordinateur a en effet été compromis une première fois le 26 décembre, quelques heures seulement après le début de la détention de Karim. Le logiciel espion a été transmis au membre de cette ONG par un message sur Skype, dont l’expéditeur n’était autre que Karim Taymour. Le logiciel espion était dissimulé dans un document que ce dernier avait finalisé la veille de son arrestation.

Phishing et ingénierie sociale

Le cas de Karim Taymour est représentatif des méthodes utilisées par le régime syrien pour surveiller et arrêter les net-citoyens. Le schéma d’attaque est souvent le même : lors d’une conversation, un contact propose à son interlocuteur de télécharger une vidéo, un document ou une image. Le lien proposé est un logiciel espion qui, une fois le lien cliqué, s’installe sur l’ordinateur. Les comptes Skype utilisés sont ceux de net-citoyens arrêtés ou dont l’ordinateur a déjà été compromis. Des comptes créés spécialement pour piéger les net-citoyens sont également utilisés.

La campagne d’infection Blackshade, du nom du logiciel espion utilisé, menée à partir de juin 2012 en Syrie a été découverte grâce à un message envoyé depuis un compte Skype compromis à un membre de l’opposition syrienne.

Campagne BlackShade

Capture écran issue de l’article de l’EFF détaillant cette campagne (licence Creative Commons)

La traduction du message est la suivante : “Il y a quelqu’un qui te déteste et qui n’arrête pas de parler de toi. J’ai pris une capture écran de la conversation. Tu devrais te méfier de cette personne parce qu’elle te connaît personnellement. Voici la capture de la conversation”.

Lorsque l’internaute clique sur le lien, le malware s’installe sur l’ordinateur de la victime.

Le régime utilise aussi des attaques de type phishing, également hameçonnage. Ce type d’attaque consiste à mettre en place une copie d’un site connu tel que YouTube ou Facebook, qui demande à l’internaute d’entrer des informations personnelles pour des raisons apparemment crédibles. Il lui est proposé de remettre à jour son profil ou d’accepter une nouvelle politique de confidentialité.

En mars, une fausse page YouTube censée héberger des vidéos de l’opposition demandait  aux internautes d’entrer leur login et mot de passe pour déposer des commentaires. Elle permettait également d’installer un logiciel espion sur le poste des visiteurs en leur demandant de télécharger une mise à jour du lecteur Adobe Flash (un logiciel permettant de regarder des vidéos en ligne).

Faux site Youtube

Capture écran issue de l’article de l’EFF (licence Creative Commons)

En avril 2012, l’EFF a dénombré au moins cinq tentatives de hameçonnage ciblant les utilisateurs de Facebook. L’une d’entre elles a été véhiculée par des messages laissés sur les comptes Facebook de leaders de l’opposition syrienne, dont Burhan Ghalioun. Cliquer sur les liens laissés sur ces pages renvoyait vers une fausse page Facebook proposant d’installer une application, FacebookWebBrowser.exe, censée améliorer la sécurité des comptes Facebook. FacebookWebBrowser.exe est un logiciel espion permettant de récupérer l’ensemble des caractères entrés via un clavier et de voler les noms d’utilisateurs et mots de passe de comptes email, YouTube, Facebook et Skype.

En août 2012, l’EFF a identifié une autre vague de diffusion de logiciel espion. C’est sous la forme d’un programme appelé Antihacker, censé protéger l’ordinateur de celui qui l’installe, que cette campagne a été lancée. Antihacker n’est pas un logiciel espion en tant que tel, seulement, une fois installé, celui-ci récupère et installe sur le poste de la victime une version de DarkComet, un logiciel malveillant capable d’enregister des images via la webcam du poste, de désactiver les notifications de certains logiciels antivirus, d’enregistrer les frappes clavier et de récupérer des mots de passe.

L’écran d’installation du bien mal nommé AntiHacker

L’écran d’installation du bien mal nommé AntiHacker

La plupart des attaques ciblées ont été réalisées à l’aide des mêmes logiciels espion (RAT - cf lexique) : DarkComet ou BlackShade. Une fois installés sur un ordinateur ou un téléphone, ces logiciels permettent d’avoir accès à la webcam, aux mots de passe de comptes emails, YouTube, Facebook, aux conversations Skype et aux frappes clavier. Les informations récupérées par ces logiciels malveillants sont envoyées vers des serveurs dont l’adresse IP est située en Syrie et laissent supposer que ces attaques proviennent du même groupe, l’armée électronique syrienne.

Ce groupe pro-gouvernemental serait également à l’origine de la conception de la fausse page youtube qui a servi pour une attaque lors de l’attaque de phishing de mars 2012 décrite pus haut. En juillet 2012, il diffuse 11 000 noms et mots de passe de “soutien de l’ONU”, comprendre d’ennemis du régime. D’après certains experts, ce groupe paramilitaire travaillerait en étroite collaboration avec les services secrets syriens.

Quelques solutions techniques

La première mesure à prendre en Syrie, si l’on considère attentivement le type d’attaques menées, est de protéger son ordinateur des logiciels malveillants.

Protéger votre ordinateur

Pour ce faire, il faut respecter quelques conseils de base :

  1. N’installer aucun logiciel reçu par email.
  2. N’installer aucun logiciel exceptés ceux récupérés sur un site en https. Les certificats garantissant l’identité d’un site https, le risque d’usurpation d’identité (phishing) est réduit.
  3. N’installer aucun logiciel provenant d’une source qui ne vous est pas familière, même si l’installation est recommandée par une fenêtre surgissante.
  4. Faire systématiquement les mises à jour de votre système d’exploitation et des logiciels qui y sont installés. Les mises à jour comblent souvent des failles de sécurité
  5. Ne pas utiliser Internet Explorer pour surfer. Ce navigateur étant parmi les plus utilisés, il est la cible des attaques de pirates informatiques. Préférez lui Firefox ou Chrome.

Éradiquer les logiciels malveillants

Darkcomet étant l’un des logiciels espions le plus souvent utilisé en Syrie, le logiciel permettant de le supprimer est disponible ici : http://www.phrozensoft.com/dcrem.more. L’EFF a publié un guide permettant de supprimer un logiciel espion largemment utilisé : Xterm Rat. Si vous pensez que votre ordinateur a été infecté, la meilleure solution est de réinstaller le système d’exploitation sur votre machine.

Protéger votre surf et prémunissez vous contre les MITIM

Il existe des solutions permettant de se protéger contre les attaques MITM. La plus simple est de ne pas ignorer les avertissements de sécurité du navigateur Internet lorsqu’on se connecte à un site https. Il existe des extensions pour les navigateurs Chrome et Firefox qui permettent de déceler  les attaques Man In the Middle :

https everywhere :

Cette extension vérifie pour chaque site si une version https (chiffrée) existe et si oui redirige le visiteur redirige vers celle-ci. Plusieurs scénarios sont possibles :

  • Si une tentative de hameçonnage vise les utilisateurs de Facebook, ceux qui auront installé cette extension seront redirigés vers la version https du site.
  • Si l’attaque est basique, l’internaute est redirigé vers la véritable version https de Facebook.
  • Si l’attaque est élaborée et si l’attaquant a mis en place une version https du site de phishing, les internautes recevront une alerte de sécurité leur indiquant que le site en question n’est pas celui qu’il dit être.
  • Si l’attaque est très élaborée et si les attaquants ont réussi à compromettre le certificat de Facebook, il faut alors vérifier manuellement l’authenticité du certificat.

Https everywhere est utile au quotidien : à chaque fois que vous envoyez des données sur Internet en utilisant un formulaire par exemple, il est indispensable d’utiliser le protocole https plutôt que http. Si vous ne le faites pas, toutes vos données seront alors transmises en clair, à vos risques et périls.

 Certificate Patrol

Cette extension vérifie les certificats (les papiers d'identité d'un site) à l’arrivée sur un site https. Elle avertit l’utilisateur qu’un changement de certificat est décelé. Indispensable contre les attaques Man in the middle et pour s'assurer que les requêtes https sont chiffrées correctement.

VPN et Tor

L’utilisation de VPN et de Tor, lorsque c’est possible, est un moyen efficace de se prémunir des attaques MITIM et du phishing. En utilisant Tor ou un VPN, l’internaute ne surfe pas sur le réseau syrien mais sur son point de sortie, en Suède, aux États-Unis ou ailleurs, et s’affranchit ainsi des attaques menées sur le réseau syrien.

Les VPN et les outils tels que Tor sont de très bons moyens de se soustraire à la surveillance du réseau puisqu’ils masquent l’adresse IP des utilisateurs.

Les solutions VPN ont un avantage supplémentaire puisque le trafic envoyé lors de l’utilisation du VPN est chiffré, contrairement au réseau Tor, qui ne fait qu’anonymiser l’internaute.