Depuis quelques semaines mes com­pa­triotes en Tunisie ont com­mencé a se plaindre de dif­fi­cul­tés d’accés a Gmail et des rumeurs ont com­mencé a cir­cu­ler sur une cen­sure pro­chaine de Gmail. Depuis le mois d’avril une vague de cen­sure a frappé Flickr, Wat.tv, Blip.tv, Metacafe.com, Agoravox.fr et un nombre incal­cu­lable de blogs : ils n’en fal­lait pas plus pour créer un cli­mat de para­noia… qui va s’avérer justifié.

Lundi der­nier, deux per­sonnes que je suis sur twit­ter ont com­mencé lan­cer des alertes concer­nant une vague de phi­shing, cap­tures d’écran à la clé, mon­trant qu’un accés a l’adresse mail.google.com affi­chait des mes­sages d’erreur éton­nants… de EasyPHP.

tunisie gmail

EasyPHP est certes une solu­tion puis­sante, mais en aucun cas en mesure de faire tour­ner un ser­vice comme Gmail. Il s’agissait donc sans l’ombre d’un doute d’un faux Gmail, réa­lisé par des pirates inca­pable de confi­gu­rer cor­rec­te­ment EasyPHP, et agis­sant à priori sur l’ensemble du réseau inter­net en Tunisie.

Pour confir­mer cette théo­rie, il fal­lait d’abord écar­ter la pos­si­bi­lité d’un mal­ware (un logi­ciel mal­veillant) ins­tallé sur une machine, et qui aurait détourné le navi­ga­teur vers un faux site Gmail des­tiné à récu­pé­rer le mot de passe de ses vic­times afin de pira­ter leur compte mail. Ce n’était en l’occurrence pas le cas.

Reste ensuite à voir si ce pro­blème appa­rait de la même façon pour tout le monde. Après enquête, les soupçons se confirment et mettent en évidence deux cas de figure : ceux qui depuis des semaines n’arrivent pas à se connec­ter à Gmail, et ceux à qui Gmail demande sans cesse de s’authentifier.

Que ce soit sur leur lieu de tra­vail ou à leur domi­cile, la situa­tion est la même, et chose inté­res­sante, ceux qui ont expé­ri­menté cela sur leur lieu de tra­vail indiquent que quand ce pro­blème arrive avec Gmail, tout le monde est tou­ché en même temps.

A ce stade de mon enquête, l’hypothèse que j’avais retenu était une attaque infor­ma­tique par DNS cache poi­so­ning, une tech­nique consis­tant à trom­per les DNS, les aiguilleurs de l’internet, et ache­mi­ner un inter­naute cher­chant à accé­der à un site vers un autre site. Jusqu’ici, je n’étais pas vic­time de tout cela, ce qui pou­vait s’expliquer par le fait que j’utilise un DNS qui n’est pas celui de mon four­nis­seur d’accès. En fait la situa­tion est pire que cela.

Quelques jours plus tard, alors que je tente de me connec­ter à Gmail – ce que je fais en mode sécu­risé (https), voilà que mon navi­ga­teur refuse de s’y connecter.

Après une rapide véri­fi­ca­tion tech­nique, je constate que le port HTTPS est bloqué sur toutes des adresses IP de mail.google.com

En clair, l’accès à la ver­sion sécu­ri­sée de Gmail est cen­suré. La ver­sion non sécu­ri­sée de Gmail, elle, semble fonc­tion­ner, mais éton­nam­ment, elle me demande de m’authentifier alors que je m’y étais connecté il y a à peine une demi heure.

Un détail cepen­dant attire mon atten­tion : l’url auquel on accède lors d’une requète vers mail.google.com :

http://mail.google.com/accountsServiceLoginservicemail&passivetrue&rmfalse&continuehttp3A2F2F mail.google.com2Fmail2F3Fhl3Dfr26tab3Dwm26ui3Dhtml26zy3Dl&bsvzpwhtygjntrz &scc1&ltmpldefault&ltmplcache2&hlfr.htm

Pour un néo­phyte, cela n’est pas vrai­ment par­lant, mais les experts ne s’y trom­pe­ront pas : le « .htm » situé à la fin de l’adresse tra­hit bel et bien une ten­ta­tive de phising.

Ma pre­mière expé­rience avec cette cam­pagne de phi­sing sur Gmail ne durera que quelques minutes avant que les choses ne reviennent à la nor­male, mais il y a de quoi s’inquiéter : l’adresse IP est la bonne (voir la cap­ture d’écran nmap), pour réa­li­ser une telle opé­ra­tion, il faut un contrôle total du réseau en Tunisie, des câbles jusqu’au pro­to­cole HTTP.

Attention, je n’accuse abso­lu­ment pas une agence gou­ver­ne­men­tale tuni­sienne ou l’armée d’être l’auteur de ce détour­ne­ment de Gmail… ça pour­rait aussi bien être la CIA. Après tout la plu­part de nos rou­teurs sont des Cisco et Cisco est obligé, de par la loi amé­ri­caine, de four­nir des back­doors aux agences amé­ri­caines. J’aime bien cette idée. Disons que c’est la CIA. [ndlr: avec le Patriot Act la CIA n’aurait pas besoin de pro­cé­der ainsi et pour­rait obte­nir ces infor­ma­tions bien plus discrètement]

La méthode de la CIA serait donc de bloquer l’accès sécu­risé a Gmail afin que les Tunisiens soient obli­gés d’y accé­der en mode non sécu­risé, de les détour­ner vers une machine fai­sant tour­ner un faux Gmail sous EasyPHP, pour leur voler leur mot de passe et ainsi prendre pos­ses­sion de leur compte mail.

Furieux à l’idée que le KGB puisse ainsi flouer les tuni­siens, je me suis mis en tête de sur­veiller et tra­cer de façon sys­té­ma­tique cette cam­pagne de phi­sing sur Gmail à l’aide d’un cron­tab qui véri­fie si le port 443 est ouvert ou s’il est bloqué – cela peut sem­bler être du chi­nois pour beau­coup d’entre vous, mais en gros, s’il est bloqué, c’est qu’un phi­sing est en cours, et s’il est ouvert, c’est que tout va bien.

En une jour­née de sur­veillance de cette opé­ra­tion, sans doute menée par la NSA, un shéma récur­rent sem­blait se des­si­ner : le phi­sing a lieu toutes les deux heures et dure pré­ci­sé­ment 5 minutes. J’ai entre temps reçu la preuve que cette opé­ra­tion dure depuis des mois, cer­taines per­sonnes affir­mant que cela fait plu­sieurs années que cela est en place. Un conseil : chan­gez vos mot de passe, le FBI vous espionne (ou la DST, encore une fois, rien ne per­met d’incriminer la CIA plus qu’autre chose).

Par exemple, voici les horaires de pas­sage du train de phi­shing dans mon sous-réseau 41.226.255.* :

08:35 UTC+1
10:35 UTC+1
12:35 UTC+1
14:35 UTC+1
16:35 UTC+1
18:35 UTC+1
20:35 UTC+1
22:35 UTC+1
00:35 UTC+1
02:35 UTC+1
04:35 UTC+1
06:35 UTC+1

Consignes si vous êtes en Tunisie : lais­ser pas­ser le train. Allez prendre un café et reve­nez, ça ne dure que 5min. Et sur­tout acti­vez l’option sécu­risé de Gmail et chan­gez vôtre mot de passe.

Entre temps, plu­sieurs per­sonnes m’ont fait part de pro­blèmes simi­laires sur Facebook et YahooMail… La suite au pro­chain épisode…

UPDATE

Contacté par nos soin, Google confirme impli­ci­te­ment tout cela (pas la CIA ou le KGB, bien sûr, ça c’est une touche d’ironie qui semble échap­per à beau­coup) et nous a répondu rapi­de­ment. Nous vous livrons ici l’email que nous a fait par­ve­nir son porte parole pour la région.

« Nous sommes conscient que beau­coup de gens dépendent de Gmail et nous nous atte­lons à le rendre le plus sécu­risé pos­sible, et cher­chons sans cesse de nou­velles façon de le faire. Nous avons par exemple récem­ment activé par défaut le HTTPS sur Gmail.

Afin de sécu­ri­ser l’utilisation de Gmail, nous vous recom­man­dons de ne sai­sir votre mot de passe que sur les pages dont l’adresse com­mence par https:// et si un mes­sage d’alerte quel­conque sur­vient concer­nant un cer­ti­fi­cat, de ne sur­tout pas aller plus loin.

Nous encou­ra­geons tous les uti­li­sa­teurs à uti­li­ser HTTPS, qui offre une pro­tec­tion contre le ‘packet snif­fing‘ et d’autres ten­ta­tives des­ti­nées à sur­veiller et mani­pu­ler le tra­fic réseau. Si vous ne pou­vez accé­der momen­ta­né­ment à Gmail en uti­li­sant HTTPS, atten­dez quelques minutes avant de recom­men­cer à nouveau.

Si vous pen­sez que votre compte a été com­pro­mis, nous vous inci­tons à chan­ger immé­dia­te­ment votre mot de passe et à vous assu­rer que votre email secon­daire est toujours valide (ces don­nées sont acces­sibles à tra­vers les réglages de compte Google). Si vous ne pou­vez plus accé­der à votre compte, vous pou­vez récu­pé­rer un accès en répon­dant aux ques­tions de sécu­rité ici.

Vous pou­vez égale­ment consul­ter ce billet pour obte­nir plus de détails concer­nant notre approche de la sécurité.

Source: ReadWriteWeb France