Discussion :

[acx01b]

Bonjour, je me pose une question :

La DGSI a embauché ~2000 informaticiens en 2015. A-t-on des raisons légitimes (techniques) pour supposer que ce n'est pas pour jouer au man-in-the-middle ?

Le scénario que j'imagine est par exemple le suivant :

- la DGSI convainc Orange de leur laisser accéder librement en lecture à certains des nœuds principaux de l'internet français, et ponctuellement aussi en écriture
- ils peuvent écouter toute la partie non-chiffrée des communications, et établir des listes de suspects, auxquels s'ajoutent les "fichés S",
- ils ont donc une liste d'IP, et détectent quand l'une d'entre elles se connecte à http://www.win-rar.com (ou autre) indiquant que la personne télécharge un logiciel en HTTP non-séccurisé,
- ils injectent alors une backdoor dans les paquets de l'exécutable téléchargé,
- qu'ils ont par exemple programmée pour détecter quand la personne utilise PGP ou TOR ou une messagerie cryptée,
- et ils ont ainsi accès à toutes les conversations du suspect, même cryptées.

Ma question est donc : quelles sont les principales difficultés techniques/légales/pratiques pour ce genre de scénario et peut-on donc supposer que c'est un scénario très probable ou très peu probable, étant donné le contexte actuel ?

Merci.

[BufferBob]

salut,

on dirait Le Bureau des légendes - saison 3 sur fond de trame complotiste et saupoudré d'un peu de technique, mais pas trop, qu'on étale allègrement

est-ce qu'il y a une bonne raison de penser que la DGSI ne recrute pas 2000 gus pour jouer au mitm, ben oui, déjà c'est pas un jeu, ensuite y'a pas que le mitm dans la vie, et sur les 2000 totos y'en a peut-être qui sont prévus juste pour administrer les machines, développer le site web, faire de la recherche etc. enfin la tournure de la question est elle-même bien retord; régulièrement très tôt le matin quand tout le monde dort et que personne ne voit mon boulanger reçoit une livraison par camion, a-t-on une raison légitime pour supposer qu'il n'est pas trafiquant de drogue ?

Ma question est donc : quelles sont les principales difficultés techniques/légales/pratiques pour ce genre de scénario et peut-on donc supposer que c'est un scénario très probable ou très peu probable, étant donné le contexte actuel ?

on parle d'institutions qui sont par nature secrètes, le mieux à mon avis, tu finis tes études histoire de valider un bagage technique suffisamment conséquent, et ensuite tu postules à la DGSI pour savoir de quoi il retourne, c'est encore le plus simple.

[acx01b]

je n'ai pas compris le ton de la réponse.

==> c'est une question technique, le scénario est amusant / intéressant, mais la question technique est juste technique quoi !?

j'ai fini mes études depuis longtemps (même si quand on parle de science et d'ingénierie, on ne finit jamais vraiment ses études), et c'est un fait établi qu'internet permet très facilement de discuter (et de comploter) totalement anonymement, donc pour moi (même en excluant l'intérêt purement technique) la question est légitime, d'autant plus avec la psychose actuelle.

mais comme je n'ai jamais programmé un routeur principal et que je n'ai pas connaissance du matériel nécessaire pour écouter/intercepter/ré-injecter des paquets dans une fibre optique à plusieurs Go/s, je pose la question à des gens qui sont susceptibles d'avoir une partie des réponses.

la vraie question c'est plutôt : et toi, as-tu le bagage technique pour répondre (tout du moins participer à la réponse) ?

[secuexpert]

- ils peuvent écouter toute la partie non-chiffrée des communications, et établir des listes de suspects, auxquels s'ajoutent les "fichés S",
- ils ont donc une liste d'IP, et détectent quand l'une d'entre elles se connecte à http://www.win-rar.com (ou autre) indiquant que la personne télécharge un logiciel en HTTP non-séccurisé,
- ils injectent alors une backdoor dans les paquets de l'exécutable téléchargé,

Est-ce qu'ils peuvent contrefaire la signature du logiciel?

Signature numérique qui sert à :

Assure que le logiciel provenait d’un éditeur de logiciels
Protège le logiciel contre toute modification après sa publication

Certificat délivré à :

CN = win.rar GmbH
O = win.rar GmbH
STREET = Marienstrasse 12
L = Berlin
S = Berlin
PostalCode = 10117
C = DE

délivré par :

CN = COMODO RSA Code Signing CA
O = COMODO CA Limited
L = Salford
S = Greater Manchester
C = GB

[BufferBob]

==> c'est une question technique, le scénario est amusant / intéressant, mais la question technique est juste technique quoi !?

sauf qu'initialement tu ne présentes pas ça comme quelque chose d'amusant/intéressant mais comme l'affirmation à peine masquée qu'il y avait une corrélation entre le fait de recruter 2000 salariés et celui de faire des MitM à tour de bras sur tout l'internet français

alors admettons, mais ton scénario n'est absolument pas réaliste, on parle de quoi concrètement, installer des dispositifs d'écoute et de traitement du trafic avec l'accord des opérateurs sur leurs installations ? MitM tout ou partie du trafic internet français vers un AS qui aurait un tuyau suffisamment énorme pour tout recevoir et de patate pour tout traiter ? t'es loin du compte, mais je t'obliges pas à me croire.

la vraie question c'est plutôt : et toi, as-tu le bagage technique pour répondre (tout du moins participer à la réponse) ?

non tu as raison, je vais m'abstenir.

[acx01b]

bon... finalement au lieu de vous insulter je vais essayer de continuer la discussion technique.

oui j'ai plus ou moins spécifié que c'était un peu gros des agent-secrets qui débarquent chez Orange pour dire "allez on installe notre matos qui potentiellement nous permettra d'espionner n'importe qui en France sans mandat". c'est pour ça qu'une question pourrait être : combien de gens (hors DGSI) en gros sont obligées d'être au courant ? ne suffit-il pas d'installer 2 ou 3 racks dans un de ces gros datas-centers où personne ne sait à quoi servent toutes les machines tellement c'est compliqué ? (à part 2 ou 3 ingénieurs qui sont là depuis les débuts d'internet)

et ça pose un problème technique de récupérer dans une fibre optique les paquets provenant/adressés à telle IP ? il n'y a pas une technologie bien connue utilisée dans les routeurs qui permet de le faire sans vraiment ralentir le débit ? (sur ce point j'avoue que je sèche, c'est quand même assez pointu aussi bien en physique qu'en électronique)

et il y a-t-il des choses beaucoup plus évidentes à faire si on est la DGSI et que les écoutes de téléphones portables ou la consultation des pages publiques facebook/twitter et les réquisitions des adresses mails connues des suspects ne donnent rien ? (qu'est-ce qui est évident à faire avec internet si on est la DGSI ?)

est-ce très risqué d'injecter une backdoor sur la machine du suspect, qui risque d'être détectée par un anti-virus ou un pare-feu ? quel genre de code installe-t-on sur la machine du "suspect" dans ce cas ? (si le but est de tout espionner, donc a priori le programme commence par tester s'il est possible d'établir une connexion sortante, et ensuite essaye de détecter quand il y a des choses intéressantes à espionner, et le cas échéant les archive, et les transmet régulièrement)

et que dites-vous de ça :
Allemagne : la police criminelle pourra désormais utiliser son « cheval de Troie fédéral » ça laisse quand même penser que c'est carrément plausible, non ?


moi je pose la question parce que je ne suis pas tout du convaincu que pour chacun de ces problèmes, il n'y ait pas une solution, notamment quand on a sous la main plusieurs centaines d'informaticiens/ingénieurs très doués.

[secuexpert]

sauf qu'initialement tu ne présentes pas ça comme quelque chose d'amusant/intéressant mais comme l'affirmation à peine masquée qu'il y avait une corrélation entre le fait de recruter 2000 salariés et celui de faire des MitM à tour de bras sur tout l'internet français

alors admettons, mais ton scénario n'est absolument pas réaliste, on parle de quoi concrètement, installer des dispositifs d'écoute et de traitement du trafic avec l'accord des opérateurs sur leurs installations ? MitM tout ou partie du trafic internet français vers un AS qui aurait un tuyau suffisamment énorme pour tout recevoir et de patate pour tout traiter ? t'es loin du compte, mais je t'obliges pas à me croire.

Alors voyons ce qui s'est fait ailleurs :

An investigation into the hacking by Dutch-government appointed Fox-IT consultancy identified 300,000 Iranian Gmail users as the main target of the hack (targeted subsequently using man-in-the-middle attacks), and suspected that Iranian government was behind the hack

https://en.wikipedia.org/wiki/DigiNotar

Et là on parle de véritable attaque MITM c'est à dire sur du TLS. Pas du "MITM" en HTTP dont il est question dans ce topic!!!!

Qu'est-ce qui te permet d'affirmer qu'une telle attaque contre quelques milliers de "fichés S" ce n'est pas faisable?

(toutes les "fiches S" ne se valant pas, toutes n'étant pas liées à la "radicalisation" islamiste...)

"absolument pas" est une affirmation définitive, qui ne laisse pas place au doute. Or tu n'as pas apporté la moindre preuve, juste ton appréciation subjective et l'agitation vigoureuse de tes mains.

Par ailleurs "MitM tout ou partie du trafic internet français vers un AS" n'a aucun sens : le MITM est une attaque contre une connexion (TCP, TLS, SSH...).

Mais "MITM du trafic" de l'Internet ou d'un seul utilisateur n'a pas de sens. Tu n'as pas l'air très rigoureux dans l'usage du vocabulaire et des concepts.

non tu as raison, je vais m'abstenir.

Peut être que tu ferais bien, avant d'affirmer de façon certaine des choses douteuses.

[secuexpert]

est-ce très risqué d'injecter une backdoor sur la machine du suspect, qui risque d'être détectée par un anti-virus ou un pare-feu ? quel genre de code installe-t-on sur la machine du "suspect" dans ce cas ?

Je dirais évidemment c'est plus risqué que d'écouter de façon indétectable, mais
- les rootkits sont justement conçus pour se faire discret
- on peut tester sur des machines immitant la configuration de l'utilisateur si les logiciels de sécurité détectent l'intrusion
- avec du renseignement de qualité on peut essayer de voir si la personne a un bon niveau en informatique et saura détecter des comportements anormaux assez subtiles

Mais je ne suis pas du tout spécialiste de ces techniques d'attaques.

[BufferBob]

Qu'est-ce qui te permet d'affirmer qu'une telle attaque contre quelques milliers de "fichés S" ce n'est pas faisable?
"absolument pas" est une affirmation définitive, qui ne laisse pas place au doute. Or tu n'as pas apporté la moindre preuve, juste ton appréciation subjective et l'agitation vigoureuse de tes mains.

ok, alors on ne s'est pas compris, coïncidence ou mauvaise volonté va savoir, en l'occurrence je parlais du fait -et c'est assez perceptible dans le reste de la phrase pourtant- qu'installer des dispositifs d'écoutes massive chez les opérateurs avec leur accord n'était pas réaliste (je le maintiens), du fait que rediriger ou de mirrorer (par abus de langage j'ai employé "MitM" mais ça va là ? j'ai bon ?) tout ou partie du trafic internet pour le traiter en dehors de l'opérateur n'était pas réaliste (toujours avec l'idée de placer le dispositif chez l'opérateur donc, condition du scénario stipulée dans le post initial)

Par ailleurs "MitM tout ou partie du trafic internet français vers un AS" n'a aucun sens : le MITM est une attaque contre une connexion (TCP, TLS, SSH...).
Mais "MITM du trafic" de l'Internet ou d'un seul utilisateur n'a pas de sens. Tu n'as pas l'air très rigoureux dans l'usage du vocabulaire et des concepts.

tout dépend par quel bout on regarde, on pourrait aussi percevoir ça comme une charge plus sur la forme que sur le fond, basée sur la rhétorique et n'ayant pour but que de se positionner, "en prenant appui sur", et en exposant ses attributs
mais le fait d'être attaqué sur la forme plutôt que sur le fond suffit à me satisfaire, je te mets les oreilles et la queue dans un petit sac et te cède la place bien volontiers secuexpert

le "absolument" était de trop j'en conviens, et ma façon un peu "décontractée du zboub" de dire les choses -n'en déplaise- n'a sans doute rien arrangé, mais sur le fond je maintiens ce que j'ai pu dire à savoir que dans le post original il n'était pas tant question d'intérêt technique que d'une DGSI qui recruterait 2000 gars pour faire du MitM, qu'au delà de ça aller poser un dispositif chez l'opérateur ça n'est pas encore à l'ordre du jour légalement parlant, et ce que j'ai répondu au PO en privé et que tu as confirmé dans la foulée, à savoir qu'un rootkit était bien plus réaliste à mettre en oeuvre, quant à la forme je pense qu'au minimum tu te méprends sur le sens de ce que j'ai pu dire, si "absolument" ne permet aucune nuance, ta charge ici n'est pas beaucoup plus nuancée et "la place au doute" que tu évoquais ne t'a pas plus servi à essayer de désambiguïser mon propos, pourtant pas si incompréhensible que ça

Peut être que tu ferais bien, avant d'affirmer de façon certaine des choses douteuses.

voui voui... c'est pour ça je vais pas m'embêter à te répondre non plus dans l'autre discussion, ayant l'intuition que tu cherches -au mieux- à me faire passer un test de rhétorique

[secuexpert]

Absolument pas, je m'intéresse au fond!

J'essaie juste d'être précis dans les termes employés.

[secuexpert]

alors admettons, mais ton scénario n'est absolument pas réaliste, on parle de quoi concrètement, installer des dispositifs d'écoute et de traitement du trafic avec l'accord des opérateurs sur leurs installations ? [détournement de] tout ou partie du trafic internet français vers un AS qui aurait un tuyau suffisamment énorme pour tout recevoir et de patate pour tout traiter ? t'es loin du compte, mais je t'obliges pas à me croire.

Relis bien, il n'est pas question de transporter TOUT le traffic de Orange vers les routeurs-filtres des services secrets pour ensuite faire tout revenir sur le réseau Orange! Au contraire il est question de détourner seulement le traffic ciblé selon des critères simples (IP source, IP destination). Aucune analyse "profonde" des paquets ne serait nécessaire dans le réseau Orange.

Ensuite cette petite part du traffic serait traitée plus en profondeur.

Je ne vois vraiment rien d'absurde dans cette proposition!

[secuexpert]

sauf qu'initialement tu ne présentes pas ça comme quelque chose d'amusant/intéressant mais comme l'affirmation à peine masquée qu'il y avait une corrélation entre le fait de recruter 2000 salariés et celui de faire des MitM à tour de bras sur tout l'internet français

L'intro pue le "raisonnement" conspirationniste et je pense que c'est ironique. Il faut supposer que son interlocuteur est intelligent, jusqu'à preuve du contraire.

Tu es très mal placé pour jouer l'ironie vu à quel point méconnait ce sujet.