Reflets.info

#SFR 3G : quand ton opérateur procède à un Man In The Middle

samedi 16 mars 2013 à 13:00

Suite à notre article d’hier sur l’altération des pages web par SFR et suite à l’article de Pierre Col sur ZDNet expliquant la gravité d’un tel procédé et l’évidente atteinte à la Neutralité du Net que ceci implique, nous avons procédé à d’autres vérifications car nous soupçonnons SFR de ne pas appliquer ce genre de choses uniquement au protocole HTTP et à la visite de pages web.

Petite piqure de rappel

Article 226-15 du code pénal :

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »

SFR ? WTF ?!

Les personnes qui ont suivi mes mésaventures avec Bouygues Telecom se doutent du pourquoi j’ai une nouvelle connexion SFR. Pour l’annecdote, j’ai en ce moment des tests d’intrusion à réaliser. Alors certes, je réalise ces tests derrière un VPN, mais vous allez maintenant découvrir comment SFR procède à un man in the middle et altère également les résultats d’un SCAN.

C’est une fois de plus très grave car une machine, quelque part sur le réseau, fausse complètement les résultats de mes travaux. Aucun doute possible, une machine, sur le réseau de SFR, me ment… elle me renvoit à un truc qui n’est pas Internet.

Méthodologie :

Nous allons lancer 4 scan Nmap sur 4 cibles différentes depuis une connexion 3G SFR, sans VPN… à poil.
Nous allons ensuite lancer 4 scans Nmap sur les mêmes cibles depuis une connexion à INTERNET, et non depuis le réseau 3G SFR, derrière notre VPN, depuis le réseau de Online.
Nous comparerons ensuite les résultats

Le SCAN sans VPN depuis une connexion 3G SFR

Cible 1 : google.com

$ nmap google.com

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:29 CET
Nmap scan report for google.com (173.194.45.67)
Host is up (0.15s latency).
Other addresses for google.com (not scanned): 173.194.45.68 173.194.45.69 (...)
rDNS record for 173.194.45.67: par03s13-in-f3.1e100.net
Not shown: 995 filtered ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
443/tcp open https
554/tcp open rtsp
5060/tcp open sip

Cible 2 : cia.gov

$ nmap cia.gov

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:19 CET
Nmap scan report for cia.gov (198.81.129.107)
Host is up (0.14s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
443/tcp open https
554/tcp open rtsp

Cible 3 : reflets.info

$ nmap reflets.info

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:18 CET
Nmap scan report for reflets.info (88.190.24.19)
Host is up (0.21s latency).
rDNS record for 88.190.24.19: elmariachi.toonux.com
Not shown: 955 closed ports, 37 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
554/tcp open rtsp
5060/tcp open sip

Cible 4 : bearstech.com

$ nmap bearstech.com

Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:18 CET
Nmap scan report for bearstech.com (78.40.125.90)
Host is up (0.17s latency).
rDNS record for 78.40.125.90: plonours.bearstech.com
Not shown: 992 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open rtsp
5060/tcp open sip

Interpretation des résultats

Nous avons tout de suite remarqué que les résultats Nmap n’étaient pas « normaux ». Ni Reflets, ni Bearstech n’ont de serveur FTP installés… Nous doutons également que Google et la CIA proposent un FTPd sur le même serveur que leur frontal web.

SCAN depuis le vrai Internet

Seconde étape, nous activons notre VPN et nous sortons au Panama pour revenir en France sur le réseau d’Online (l’un de nos serveurs). Nous allons lancer les scans depuis une machine bien isolée du ‘ternaite tout pourri d’SFR Mobile… depuis le vrai Internet.

Cible 1 : google.com

$ nmap google.com

Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:45 CET
 Warning: Hostname google.com resolves to 11 IPs. Using 173.194.34.7.
 Interesting ports on par03s02-in-f7.1e100.net (173.194.34.7):
 Not shown: 998 filtered ports
 PORT STATE SERVICE
 80/tcp open http
 443/tcp open https

Cible 2 : cia.gov

$ nmap cia.gov

Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:44 CET
Interesting ports on 198.81.129.107:
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https

Cible 3: reflets.info

$ nmap reflets.info

Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:43 CET
Interesting ports on elmariachi.toonux.com (88.190.24.19):
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https

Cible 4 : bearstech.com

$ nmap bearstech.com

Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:44 CET
Interesting ports on plonours.bearstech.com (78.40.125.90):
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http

Interpretation des résultats

Sur une connexion 3G SFR, les scans me renvoient tous des ports ouverts en plus, notamment le port 21 pour le service FTP. Il ne s’agit pas de faux positifs d’Nmap mais d’un « alien » qui s’insère dans le trafic réseau, faussant ainsi les résultats obtenus.

Notre petit test met en évidence, lorsque l’on se connecte depuis un réseau neutre que des ports montrés comme ouverts sur ce que nous pensons être notre machine cible sont en fait fermés.

Nous sommes en droit de nous demander si, lorsque nous envoyons des trames d’un point A à un point B du réseau, sur le réseau SFR Mobile, le point B n’est pas en fait un point C appartenant à SFR et en aucun cas le destinataire du message.

SFR altère non seulement le contenu des pages web, mais il altère également tout votre trafic réseau.

Conclusion

SFR, va vraiment falloir que tu t’expliques mon ami, car vu d’ici, ce que j’observe, c’est la définition même d’un man in the middle et … non rien… voir l’article 226-15 du code pénal mentionné plus haut.

Billets en relation :

Quand les sites de e-commerce nous prennent pour des cons grâce à Saint-Fianet.

vendredi 15 mars 2013 à 23:09

Pour ne pas la citer, CDiscount, No 1 français de l’e-commerce (rien que ça), bien connu par nous tous de par ses ventes très discount et sa rapidité de livraison, nous à mis en place un contrat de e-vente bien rodé.
Moyens de paiements multiples (chèque et carte bancaire en paiement comptant ; chèque et carte bancaire en quatre fois sans frais …), des délais et modes de livraison divers : relais colis poste (gratuit), collissimo, ou express TNT 48h (du moment que vous allongez).

Oui mais voilà, c’était sans compter sur leur partenariat de « sécurité » FIANet (société qui à la base doit, nous clients, nous rassurer sur la fiablité des sociétés commercantes). Ce partenariat de « sécurité » n’existe qu’à cause de la porosité maintes fois avérée du GIE carte bancaire.

Voici en quelques lignes la saga CDiscount – FIANet, passée depuis un pc et un téléphone portable.

Paiement par carte bleue, en quatre fois sans frais. Aucun problème jusque là.
Un premier mail est transmis par les services CDiscount, histoire de confirmer la validité de notre commande, du paiement et du service de livraison, ici, expresse TNT 48h (livraison prévue le 16 mars).

Puis soudain, second mail, cette fois-ci non pas des services CDiscount mais de leur partenaire de vérification d’identité FIANet. Ce mail, vous informe que vous devez fournir des pièces justificatives afin de finir la validation de votre commande, soit une carte d’identité recto verso et un RIB (appartenant au payeur bien entendu).
Vous sentez déjà que de 48h, vous passerez à 72h.

Par conséquent les quelques euros bien dépensés pensions nous pour la livraison express qui urge, deviennent inutiles. Monsieur CDiscount, lui, les empochera avec grand plaisir.
Une fois vos documents justificatifs transmis (toujours à FIANet), sous un délai de 7 jours ouvrables (sans quoi c’est annulation de la commande et retour à la case départ) … vous attendez. Attendez … Attendez …
Mais rien. Plus de son, ni d’image.
Finalement vous finissez par obtenir un mail le lendemain environ, soit 24h de plus dans votre délai de livraison, un mail de la part de CDiscount (de nouveau) qui vous annonce que vos pièces ont bien été réceptionnées et que la commande est bloquée car votre identité est en attente de vérifiaction auprès des services FIANet, et que tous ceci est bien indépendant de leur volonté. Ils sont donc bien désolés, mais ils ne pourront tenir leurs délais de livraison.

Entre temps, vous avez pris le soin de les contacter pour savoir où en était cette fichue commande à cinq cent euros, et si vous serez malgré tout livré le 16. « Oui, bien sûr Mademoiselle, vous serez livrée le 16 mars entre 8h et 10h »

Alors, après une suée ou deux, après quelques prises de têtes avec la plate forme téléphonique de CDiscount et le site internet de FIANet (pour trouver un interlocuteur inexistant), et après quelques recherches.

Il s’avère que contractuellement, ils ne respectent absolument rien :

Délais d’engagement de livraison non respectés,
Redirection des clients : complètement inexistant
Rapprochement entre les services (quels services ?)
Plate forme téléphonique à joindre au 3979 (1,34€ la minute) et probablement off-shore.
Après quelques tweets, @CDiscount me renvoie vers le service litige @LaFourmillière sur Twitter, qui ne semble quasiment jamais régler les problèmes de leurs clients .
Remboursement des frais de livraison ou re-créditation de votre carte bleue contractuellement sous cinq jours, ne s’effectuera dans le meilleur des cas que sous 2 à 5 mois (pour certain).

Je commence ici à m’interroger réellement sur la « fiabilité » de « FIA »Net. Et après quelques piques d’énervement, je découvre avec stupéfaction d’autres problèmes provenant de ce partenaire de vérification d’identité et de sécurité. FIANet aurait-il le mauvais goût de refourguer nos données personnelles à des tiers « partenaires commerciaux » ? Les spams reçus depuis cette « vérification », ont de quoi laisser perplexe…

Et là, petite cerise : « votre facture vous sera transmise après réception de votre commande »

Autrement dit, pas la peine de tenter de prouver votre bonne foi avec une quelconque justification d’achat, vous ne possédez absolument aucune facture, aucun papier prouvant votre acte d’achat… la réclamation OK, mais c’est une fois qu’on vous l’aura mise bien profond.

Vous remarquerez également que vous payez un supplément de gestion de dossier d’environ onze euros. Mais quelle gestion ?!

Actuellement, je suis toujours en attente d’une réponse claire et d’un mail de la part de CDiscount qui m’anoncera que ma commande est bien partie par transporteur express TNT et que je serai livrée demain matin entre 8h et 10h. Mais bien évidemment, CDiscount ne répond plus à mes demandes, se défossant sur son « partenaire de confiance » FIANet

Ce que CDiscount ne semble toujours pas comprendre et ce, malgré le bon nombre de remarques toutes plus acerbes les unes que les autres de la part de leurs clients, c’est que nous avons un contrat de E-ventes avec eux, et non avec La Fourmillière ou encore avec FIANet.
Autrement dit, je ne devrai pas me soucier de FIANet, et ce qui m’importe c’est que ma livraison soit bien honnorée conformément à mon bon de commande et au paiement que j’ai déjà effectué et qui est déjà bien débité sur mon compte. En n’oubliant pas le supplément payé pour une livraison expresse via TNT au lieu d’une livraison gratuite dans les delais que FIANet nous inflige.
Pour le débit sur votre compte bancaire, en revanche, il n’y a aucun retard.

Prochaine épisode demain matin entre 8h et 10h… stay tuned.
N’hésitez pas à les inonder de réclamations si vous êtes vous aussi victimes du « partenaire confiance », CDiscount , comme d’autres e-commerçants, n’hésitant pas à se vanter de la qualité de leurs services et de la rapidité avec laquelle ils vous livrent et vous répondent… à côté de la plaque dés que vous avez un problème.

Billets en relation :

SFR modifie le source HTML des pages que vous visitez en 3G

vendredi 15 mars 2013 à 20:29

Au détour de quelques surfs sur une connexion 3G SFR, votre serviteur a eu une fort désagréable surprise. En affichant le source HTML de plusieurs sites web, je suis tombé sur quelques bizarreries… Figurez vous que SFR injecte dans le code, fort probablement par le biais de proxys des choses qui n’ont pas à s’y trouver dans la définition que nous nous faisons d’un Internet propre et neutre qui se respecte.

Voici le code source d’un site gouvernemental syrien. On y trouve 2 choses curieuses :

deux IP suivies du folder /bmi/ puis reprenant ensuite l’URL de la cible

Ces deux adresses en 91.68… appartiennent à l’AS de SFR … mais que font elles donc dans le code source d’un site gouvernemental syrien ?!

une IP 1.2.3.4 (un range réservé non alloué, suivi du folder /bmi/ avec un javascript dedans … que voici… d’ailleurs c’est amusant on y trouve même une rule spéciale Youtube !

    
    } else if (document.location.href.match(/^http:\/\/www\.youtube\.com\/embed/)) {
        e = document.getElementById("player");
        if (e && (e.innerHTML.match(i) || !e.innerHTML.match(s))) {
            yt.config_.PLAYER_CONFIG.args.fexp = "904448," + yt.config_.PLAYER_CONFIG.args.fexp;
            e.innerHTML = "";
            yt.embed.writeEmbed()
        }
    } else if (document.location.href.match(/^http:\/\/www\.youtube\.com\/user\//)) {
        var h = document.getElementById("movie_player-flash");
        if (h && h.parentNode.className.indexOf("player-container") > -1) {
            n = h.parentNode;

Des choses semblables ont été observées chez T-Mobile : http://security.stackexchange.com/questions/9368/mobile-carrier-javascript-injection

Nous avons donc procédé à une vérification sur d’autres sites… et on se doutait bien que Bachar Al Assad n’hébergeait pas ses sites web dans un CDN de LDCOM/SFR… Bingo :

Nous avons tenté d’afficher le source de ces mêmes pages, depuis la même connexion, mais cette fois derrière notre VPN maison :

Le constat est donc sans appel, SFR modifie bien , surement par le biais de proxys, le code HTML des pages que vous visitez. Ceci appelle donc maintenant plusieurs questions :

Pourquoi un FAI modifie t-il le source des pages que je visite ? Rien ne devrait justifier ceci …
A quoi servent ces proxys ? S’agit t-il d’un cache sur des fichiers statiques ?
Quelles données sont collectées par SFR pendant nos surfs en 3G ?
Pouvons nous faire confiance à un FAI qui modifie les pages que nous visitons ? … pour ma part la préponse est NON !

En attendant des réponses à ces questions, sortez couverts, VPN obligatoire pour tout le monde si vous souhaitez surfer tranquilles.

Edit :

Et visiblement, c’est pas nouveau ! : http://www.journaldulapin.com/2011/10/04/quand-sfr-degrade-vos-images-en-3g-genre-a-la-truelle/ … thx @Bortzmeyer.

Billets en relation :

La France Droite a un site web de travers qui pisse des adhérents de test

vendredi 15 mars 2013 à 16:42

C’est l’excellent @spiwit qui vient de nous remonter une chouette fuite de données personnelles. Celle-ci concerne La France Droite, le mouvement de Nathalie Kosciusko-Morizet. Avant de briguer un parachutage à la mairie de Paris NKM a quand même été Secrétaire d’État chargée de la Prospective et du développement de l’Économie numérique. À ce titre, elle ne peut ignorer qu’Internet est un espace public, et comme il s’agit d’un espace public, qu’il faut éviter de faire n’importe quoi avec les fichiers adhérents qui regorgent de données personnelles. Elle ne peut ignorer non plus que quand on stocke contre vents et marées des données personnelles sur un système de traitement automatisé de données connecté à un réseau public, la moindre des choses à faire est de s’assurer que le strict minimum en matière de sécurité a été fait… que l’état de l’art de la configuration basique d’un WordPress (le CMS qui propulse LaFranceDroite) a été respecté.

Dans son empressement à se créer un club de soutien pour conquérir la capitale, il semblerait que l’équipe de NKM, non contente de ne pas lire la documentation de base de l’installation et de la sécurisation de WordPress, ait en plus eu le bon goût de stocker tout et n’importe quoi… n’importe où.

Nous avons donc découvert avec amusement les adhérents… enfin c’est surement des adhérents de test hein… de La France Droite, ainsi qu’un beau paquet de données personnelles elles aussi, à n’en pas douter, de test.

Ces données personnelles de test, sont les suivantes :

Nom et prénom de test ;
Date de naissance de test ;
Adresse de test ;
Email de test ;
numéro de téléphone de test ;
Mots de passe en clair ! … de test bien évidemment.

Autre donnée très intéressante, il est renseigné un champs « carte » qui laisse à penser que cette base de données est croisée avec celle du fichier adhérents des encartés de l’UMP… bravoooooo ! Si un dissident UMP se présente à Paris, il pourra en ce sens exiger d’accéder lui aussi au précieux Graal, le fichier des irréductibles d’une espèce en voie de disparition.

A en croire le nombre des ses adhérents de test, on peut en déduire que c’est loin d’être gagné pour NKM. On en dénombre très exactement 1029. Les deux fichiers, au format CSV, sont très probablement soit des exports d’un fichier Excel uploadé « là où il fallait pas » par un webmaster totalement incompétent, soit des extractions de la base de données du site web elle-même, ce qui ne ferait que confirmer les coups de pieds aux fesses aux développeurs qui se perdent s’ils procèdent à ce genre d’extraction sans être fichus de vérifier le vhost ou le .htaccess est correctement renseigné.

Une impression confortée quand on se penche sur le formulaire de contact et le redoutable dispositif antispam mis en place :

Autre petit trick WordPress à destination de l’équipe de bras cassés de NKM, quand on ne sait pas installer WordPress ou configurer son Apache correctement (ouais bon ok, là c’est du mutualisé OVH), on évite d’installer WP-TotalCache qui pisse des données temporaires.

Pour conclure dans les petits tips… on ajoutera que même si vous n’êtes pas super fiers de votre travail, c’est toujours cool de mentionner dans le whois ou sur le site un contact technique afin que l’on puisse vous contacter en cas de fuites de passwords d’adhérents de test.

Il va de soi que ces fichiers d’adhérents de test n’ont strictement rien à faire dans un répertoire parfaitement PUBLIC.

Bref, on a pas fini de rigoler avec la bande de bras cassés du Net qui va sévir pendant cette campagne municipale. Mais quand la CNIL aura t-elle le pouvoir de contraindre les politiques à mener le minimum de tests nécessaires avant la mise en ligne d’une application web manipulant des données personnelles, à plus juste titre encore quand ces données personnelles expriment des opinions politiques ou religieuses !

*** UPDATE :

Comme mentionné un peu plus haut, nous avons découvert une colonne assez intéressante dans le fichier adhérents au club NKM la France Droite. Il s’agit de la colonne « carte adhérent ». Cette colonne, renseignée par un Oui/Non, laisse à supposer qu’il s’agit de la carte d’adhésion à l’UMP dont il est fait mention. Et là, mauvaise lecture de notre part… NKM n’est pas candidate officielle désignée de l’UMP, mais candidate à la « primaire ouverte ». Devant l’évidence du croisement du fichier adhérent UMP avec ses sympatisans, nous saurons très bientôt si les autres candidats déclarés de l’UMP auront eux aussi, comme NKM, accès à ce fichier des adhérents, ou si une fois de plus, les petites guéguerres de la droite de travers privilégieront le parachutage de NKM en refusant l’accès à ce fichier aux autres candidats. Vous l’aurez donc compris, nous allons tenir ces prochains mois à l’oeil les grandes manoeuvres de la Fédération UMP de Paris.

*** UPDATE 2 : Nous sommes rentrés en contact avec l’équipe de La France Droite qui nous a confirmé ne PAS être en possession du fichier national des adhérents de l’UMP. La colonne que nous pointions du doigt dans notre article est une colone relative à l’adhésion à La France Droite et non à l’UMP.

Les fichiers CSV se seraient retrouvés ici suite à une procédure d’importation de la base adhérents de la France Droite dans WordPress.

Les corrections nécessaires seront portées rapidement pour interdire l’accès aux fichiers du CMS qui n’ont pas à être accessibles.

Billets en relation :

Coucou la presse malade : tu l’as vue la fumée ? (humeur)

mercredi 13 mars 2013 à 15:31

Reflets va semble-t-il bientôt proposer une émission de radio sur la presse, les média, très très malades. C’est une bonne initiative, parce que le classement 2011-2012 à la 38ème place de la France de la liberté de la presse dans le palmares de Reporter Sans Frontières est assez cocasse. Le Mali est par exemple en 25ème position, la Tanzanie 34ème. Mais posons la question d’actualité en rapport avec le sujet : comment peut-on passer autant de temps à parler dans les média français d’une fumée noire ou blanche sortant d’une chapelle où un conclave de vieux curés vont élire l’un de leurs potes, avec une population qui ne va plus du tout à l’église ? Qui décide de traiter pareillement ce non-événement qui n’intéresse personne, au moment même où la crise sociale, économique a atteint son apogée ? Les journalistes des grands media ont-ils encore une âme ? Croient-ils en Dieu ? L’église a-t-elle des actions dans les groupes de presse ? Quand ce type d’enfumage, au sens propre et au figuré va-t-il cesser ? Les réponses sont certainement multiples, complexes, il est vrai, mais il faut en donner. Parce que là, ça commence à bien faire.