Suite à notre article d’hier sur l’altération des pages web par SFR et suite à l’article de Pierre Col sur ZDNet expliquant la gravité d’un tel procédé et l’évidente atteinte à la Neutralité du Net que ceci implique, nous avons procédé à d’autres vérifications car nous soupçonnons SFR de ne pas appliquer ce genre de choses uniquement au protocole HTTP et à la visite de pages web.
Petite piqure de rappel
Article 226-15 du code pénal :
« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »
SFR ? WTF ?!
Les personnes qui ont suivi mes mésaventures avec Bouygues Telecom se doutent du pourquoi j’ai une nouvelle connexion SFR. Pour l’annecdote, j’ai en ce moment des tests d’intrusion à réaliser. Alors certes, je réalise ces tests derrière un VPN, mais vous allez maintenant découvrir comment SFR procède à un man in the middle et altère également les résultats d’un SCAN.
C’est une fois de plus très grave car une machine, quelque part sur le réseau, fausse complètement les résultats de mes travaux. Aucun doute possible, une machine, sur le réseau de SFR, me ment… elle me renvoit à un truc qui n’est pas Internet.
Méthodologie :
- Nous allons lancer 4 scan Nmap sur 4 cibles différentes depuis une connexion 3G SFR, sans VPN… à poil.
- Nous allons ensuite lancer 4 scans Nmap sur les mêmes cibles depuis une connexion à INTERNET, et non depuis le réseau 3G SFR, derrière notre VPN, depuis le réseau de Online.
- Nous comparerons ensuite les résultats
Le SCAN sans VPN depuis une connexion 3G SFR
- Cible 1 : google.com
$ nmap google.com
Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:29 CET Nmap scan report for google.com (173.194.45.67) Host is up (0.15s latency). Other addresses for google.com (not scanned): 173.194.45.68 173.194.45.69 (...) rDNS record for 173.194.45.67: par03s13-in-f3.1e100.net Not shown: 995 filtered ports PORT STATE SERVICE 21/tcp open ftp 80/tcp open http 443/tcp open https 554/tcp open rtsp 5060/tcp open sip
- Cible 2 : cia.gov
$ nmap cia.gov
Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:19 CET Nmap scan report for cia.gov (198.81.129.107) Host is up (0.14s latency). Not shown: 996 filtered ports PORT STATE SERVICE 21/tcp open ftp 80/tcp open http 443/tcp open https 554/tcp open rtsp
- Cible 3 : reflets.info
$ nmap reflets.info
Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:18 CET Nmap scan report for reflets.info (88.190.24.19) Host is up (0.21s latency). rDNS record for 88.190.24.19: elmariachi.toonux.com Not shown: 955 closed ports, 37 filtered ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 111/tcp open rpcbind 443/tcp open https 554/tcp open rtsp 5060/tcp open sip
- Cible 4 : bearstech.com
$ nmap bearstech.com
Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-16 12:18 CET Nmap scan report for bearstech.com (78.40.125.90) Host is up (0.17s latency). rDNS record for 78.40.125.90: plonours.bearstech.com Not shown: 992 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 554/tcp open rtsp 5060/tcp open sip
Interpretation des résultats
Nous avons tout de suite remarqué que les résultats Nmap n’étaient pas « normaux ». Ni Reflets, ni Bearstech n’ont de serveur FTP installés… Nous doutons également que Google et la CIA proposent un FTPd sur le même serveur que leur frontal web.
SCAN depuis le vrai Internet
Seconde étape, nous activons notre VPN et nous sortons au Panama pour revenir en France sur le réseau d’Online (l’un de nos serveurs). Nous allons lancer les scans depuis une machine bien isolée du ‘ternaite tout pourri d’SFR Mobile… depuis le vrai Internet.
- Cible 1 : google.com
$ nmap google.com
Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:45 CET Warning: Hostname google.com resolves to 11 IPs. Using 173.194.34.7. Interesting ports on par03s02-in-f7.1e100.net (173.194.34.7): Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp open http 443/tcp open https
- Cible 2 : cia.gov
$ nmap cia.gov
Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:44 CET Interesting ports on 198.81.129.107: Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp open http 443/tcp open https
- Cible 3: reflets.info
$ nmap reflets.info
Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:43 CET Interesting ports on elmariachi.toonux.com (88.190.24.19): Not shown: 995 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 111/tcp open rpcbind 443/tcp open https
- Cible 4 : bearstech.com
$ nmap bearstech.com
Starting Nmap 5.00 ( http://nmap.org ) at 2013-03-16 12:44 CET Interesting ports on plonours.bearstech.com (78.40.125.90): Not shown: 998 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http
Interpretation des résultats
Sur une connexion 3G SFR, les scans me renvoient tous des ports ouverts en plus, notamment le port 21 pour le service FTP. Il ne s’agit pas de faux positifs d’Nmap mais d’un « alien » qui s’insère dans le trafic réseau, faussant ainsi les résultats obtenus.
Notre petit test met en évidence, lorsque l’on se connecte depuis un réseau neutre que des ports montrés comme ouverts sur ce que nous pensons être notre machine cible sont en fait fermés.
Nous sommes en droit de nous demander si, lorsque nous envoyons des trames d’un point A à un point B du réseau, sur le réseau SFR Mobile, le point B n’est pas en fait un point C appartenant à SFR et en aucun cas le destinataire du message.
SFR altère non seulement le contenu des pages web, mais il altère également tout votre trafic réseau.
Conclusion
SFR, va vraiment falloir que tu t’expliques mon ami, car vu d’ici, ce que j’observe, c’est la définition même d’un man in the middle et … non rien… voir l’article 226-15 du code pénal mentionné plus haut.
Billets en relation :
