Par bluetouff

Surveillons les surveillants

Le Blue Cabinet deTelecomix, c’est l’observatoire des sociétés de surveillance électronique. Nous vous avions déjà parlé sur Reflets de la présence de Fortigates (appliance Fortinet) en Syrie. Nous soupçonnions cette entreprise d’avoir fourni du matériel utilisé pour du filtrage de contenus à grande échelle sur l’Internet syrien. On pourrait croire que les massacres mettraient un frein à l’exportation de ce genre de solutions par des entreprises occidentales, tout spécifiquement européennes. Mais non, le business continue de plus belles comme les Syria files de Wikileaks le montrent, par exemple avec la présence de cette entreprise italienne qui ne semble pas décidée à cesser ses activités pour le compte du régime de Bachar Al Assad. Comme nous le confions tout récemment à TV5Monde, ceci ne nous surprend pas.

(English Version Here)

Ce sont donc au moins deux FortiGate 51-B qui tournent en Syrie pour opérer une censure à l’échelle du pays. Ce matériel n’est normalement pas destiné à ce type d’usage mais plutôt pour la protection et le filtrage réseau d’entreprises de taille moyenne indique Telecomix, notamment a cause de leur capacité volumétrique limitée en terme de débits, pas adapté au traitement du flux IP de tout un pays.

Les Fortigates peuvent être configurés pour intercepter n’importe quel type de trafic en observant ses en-têtes ou sa charge utile (payload, ou contenu du paquet) avec des signatures customisables. Ce document décrit ce système de prévention d’intrusions et son mécanisme d’inspection en profondeur de paquets (DPI) de FortiOS – le système d’exploitation des FortiGates – il utilise des signatures applicatives pré-configurées, permet l’ajout de nouvelles et adapte des règles de comportement en fonction du trafic détecté. Ces équipements peuvent aussi être utilisés à des fins de traffic shaping, c’est justement l’un des points qui nous intéresse le plus car c’est cet usage qui empêche les syriens de diffuser par exemple des matériaux vidéos.

Attendu que ces équipements opèrent de manière passive sur le réseau ils ne sont pas visibles (ne disposent pas d’IP accessible), ce qui rend leur présence compliquée à détecter.

Les preuves techniques

Symptômes vus de l’intérieur

Les symptômes observés en Syrie indiquent assez clairement l’utilisation d’équipement de Deep Paquet Inspection même si par nature peu de données nous permettent d’être plus précis dans nos conclusions. En dehors du blocage de certains ports en TCP comme en UDP et de certains protocoles IP, des personnes ont remarqué sur place , dans plusieurs villes, que les connexion OpenVPN ne sortaient plus du pays (peu importe les ports utilisés). Le protocole utilisé par OpenVPN peut être détecté à des fins de blocage par les premiers bits envoyés à l’établissement d’une connexion (en code hexadécimal) :

00 0E 38

Ajouter une telle signature à FortiOS est une formalité, le Fortigate 51-B sera donc en mesure, à la détection de cette signature, de décider de fermer la connexion, et donc de bloquer toute connexion OpenVPN ainsi initiée.

Symptômes vus de l’extérieur

• Le 13 octobre 2011, un scan un scan de la STE (Syrian Telecommunications Establishment, dont nous vous parlions d’ailleurs hier) sur le serveur DNS primaire (82.137.192.141) semble conduire Nmap à reconnaitre la signature d’un équipement de type FortiGate. Attention, à ce stade il faut rester prudent car Nmap n’est pas infaillible dans ses détections. L’interprétation n’est pas non plus évidente mais on peut imaginer qu’un Fortigate est peut être placé en frontal du serveur DNS.
• Le 5 juillet 2012 : un document d’architecture commence à tourner sous le manteau (merci OWNI), il nous permet d’avoir une vision plus claire du réseau de l’opérateur syrien, mais les IP ne sont plus à jour, il nous faut donc mettre des IP sur les machines du design de l’architecture.
• Le 7 juillet 2012, un autre scan révèle la présence d’une console d’administration Fortigate sur l’IP 82.137.204.54. Cependant, cette adresse IP est assignée à une entreprise syrienne (Karkour), qui n’a probablement aucun rapport avec le backbone qui nous intéresse.

Nous ne trouverons pas d’autres traces d’appliances Fortigate, la manière dont elles opèrent (wiretaping au « cul » du réseau, sans adresse IP publique), peut probablement expliquer ceci.

Intelligence

Même si les preuves techniques demeurent pauvres, les symptomes observés de l’intérieur nous semblent matcher parfaitement avec nos théories. Ils nous a en outre été rapporté que deux FortiGates 51-B servaient à filtrer et bloquer du trafic à l’international. L’accès à leur administration, assuré par pas plus de 3 personnes, n’est pas accessible depuis le Net.

Livraison du matériel en syrie

Les Fortigates sont visiblement arrivés en Syrie avant le matériel de Bluecoat.

Des éléments, corrélés, et émanant de diverses sources semblent nous indiquer la manière dont ces appliances sont arrivées sur le territoire syrien, mais ils subsiste quelques zones d’ombre. Le matériel est probablement arrivé par les Emirats Arabes Unis, et la commande a été assurée par cette entreprise, basée aux Émirats :

Bassel Fakir company
Network Information Technology LLC
P.O. Box 23043
Dubai
United Arab Emirates
Tel:

+971 4 2822522
Fax: +971 4 2827080

Cette entreprise a un site web public, et se présente comme un partenaire de Fortinet.

C’est le patron de d’INET, également patron de SCAN Syria (entreprise affiliée à une boîte malaysienne spécialisée dans la sécurité informatique, SCAN Associates). SCAN est d’ailleurs mentionnée comme un partenaire d’ INET (mirroir, juste au cas où). INET se présente d’ailleurs comme le seul ISP syrien à être certifié par SCAN après avoir passé avec succès des tests d’intrusion.

Une gloriole bien amusante puisqu’il n’aura fallu à Reflets que quelques secondes pour être en mesure de recaler INET à sa certification maison…

source