Les Crises Les Crises
1.juin.20201.6.2020 // Les Crises

Une faille de sécurité thaïlandaise révèle 8,3 milliards d’informations de navigation internet

Merci 101
J'envoie

Source : TechCrunch
Traduit par l’équipe Les-Crises

Le plus grand réseau cellulaire de Thaïlande, AIS, a mis hors ligne une base de données qui révélait des milliards d’informations en temps réel sur des millions d’internautes thaïlandais.

Le chercheur en sécurité Justin Paine a déclaré dans un billet qu’il avait trouvé une base de données, contenant une combinaison de requêtes DNS et de données NetFlow. Avec un accès à cette base de données, Paine a déclaré que n’importe qui pouvait « rapidement brosser un tableau » de ce que fait un internaute (ou son ménage) en temps réel.

Il a alerté l’AIS à propos de cette base de données le 13 mai dernier. Mais après une semaine sans nouvelles, il a signalé l’apparente faille de sécurité à l’équipe nationale thaïlandaise de réponse aux urgences informatiques, connue sous le nom de ThaiCERT.

Cette dernière a rapidement contacté l’AIS qui a rendu la base de données inaccessible peu de temps après.

Le porte-parole de l’AIS, Sudaporn Watcharanisakorn, a confirmé que l’AIS était bien propriétaire de ces données et s’est excusé pour la faille de sécurité.

« Nous pouvons confirmer qu’une petite quantité d’informations non personnelles et non critiques a été exposée pendant une période limitée en mai lors d’un test programmé », a déclaré le porte-parole. (TechCrunch l’a contacté plusieurs fois avant la publication de ce billet mais n’a eu de réponse qu’après la publication).

« Toutes les données concernaient les habitudes d’utilisation d’Internet et ne contenaient pas d’informations personnelles pouvant être utilisées pour identifier un client », a déclaré le porte-parole.

« A cette occasion, nous reconnaissons que nos procédures n’ont pas été à la hauteur, ce dont nous nous excusons sincèrement ».

Le problème c’est que ce n’est pas vrai…

Les requêtes DNS sont un effet secondaire normal de l’utilisation de l’internet. Chaque fois que vous visitez un site web, le navigateur convertit une adresse web en une adresse IP, qui indique au navigateur où se trouve la page web sur l’internet. Bien que les requêtes DNS ne transportent pas de messages privés, d’e-mails ou de données sensibles comme les mots de passe, elles peuvent identifier les sites web auxquels vous accédez et les applications que vous utilisez.

Cela pourrait constituer un problème majeur pour les personnes à haut risque, comme les journalistes et les activistes, dont les enregistrements sur Internet pourraient être utilisés pour identifier leurs sources.

Les lois thaïlandaises sur la surveillance de l’internet permettent aux autorités d’accéder aux données des internautes par balayage. La Thaïlande dispose également de lois de censure parmi les plus strictes d’Asie, interdisant toute forme de critique contre la famille royale thaïlandaise, la sécurité nationale et certaines questions politiques.

En 2017, la junte militaire thaïlandaise, qui a pris le pouvoir lors d’un coup d’État en 2015, a renoncé de justesse à interdire Facebook dans tout le pays après que le géant des réseaux sociaux ait refusé de censurer les publications de certains utilisateurs.

Les données de requête DNS peuvent également être utilisées pour obtenir des informations sur les activités d’une personne sur Internet.

En utilisant ces données, M. Paine a montré comment toute personne ayant accès à la base de données pouvait apprendre un certain nombre de choses à partir d’une seule maison connectée à Internet, comme le type d’appareils qu’elle possédait, l’antivirus qu’elle utilisait, les navigateurs qu’elle utilisait, et les applications de médias sociaux et les sites web qu’elle fréquentait. Dans les foyers ou les bureaux, de nombreuses personnes partagent une même connexion internet, ce qui rend beaucoup plus difficile de remonter jusqu’à une personne en particulier.

Les données DNS sont également précieuses pour les annonceurs qui cherchent à diffuser des publicités ciblées.

Depuis qu’une loi de 2017 a autorisé les fournisseurs d’accès à l’internet aux États-Unis à vendre les enregistrements de leurs utilisateurs, comme les requêtes DNS et les historiques de navigation, les fabricants de navigateurs ont pris du recul en déployant des technologies de protection de la vie privée qui rendent l’espionnage plus difficile pour les fournisseurs d’accès à l’internet et aux réseaux.

L’une de ces technologies, le DNS sur HTTPS – ou DoH – crypte les requêtes DNS, ce qui rend beaucoup plus difficile pour les fournisseurs d’accès à l’internet ou aux réseaux de savoir quels sites Web un client visite ou quelles applications il utilise.

Source : TechCrunch
Traduit par l’équipe Les-Crises


Faille de sécurité thaïlandaise : 8,3 milliards d’informations de navigation en temps réel

Source : Rainbowtabl.es
Traduit par l’équipe Les-Crises

Chronologie de l’incident :

7 mai 2020 – Découverte d’une base de données ElasticSearch ouverte
13 mai – Contact avec le propriétaire présumé de la base de données
13-21 mai – Plusieurs tentatives de contact
21 mai – Prise de contact avec ThaiCERT
21 mai – Base de données sécurisée

Résumé :

J’ai récemment découvert une base de données ElasticSearch exposée en naviguant sur BinaryEdge et Shodan. Cette base de données semble être contrôlée par une filiale d’un important opérateur de réseau mobile basé en Thaïlande, Advanced Info Service (AIS).

Selon Wikipedia, AIS est « le plus grand opérateur de téléphonie mobile GSM de Thaïlande avec 39,87 millions de clients » en 2016. La base de données était probablement contrôlée par Advanced Wireless Network (AWN), une filiale d’AIS. Elle contenait une combinaison de requêtes DNS et de données NetFlow pour ce qui semble être des clients d’AWN. En utilisant ces données, il est assez simple de brosser un tableau de ce qu’une personne fait sur l’internet.

J’ai tenté à plusieurs reprises de contacter l’AIS pour sécuriser la base de données, mais sans succès. J’ai alors contacté Zack Whittaker – un journaliste de TechCrunch – pour obtenir de l’aide. Nous n’avons pas réussi à entrer en contact avec l’AIS. J’ai alors contacté l’équipe nationale thaïlandaise du CERT (ThaiCERT). ThaiCERT qui a pu prendre contact avec l’AIS, et nous avons réussi à sécuriser la base de données.

Qui est Advanced Wireless Network (AWN) ?

Selon Bloomberg, AWN fournit « des services de réseaux câblés et sans fil, un réseau de télécommunications et des systèmes informatiques ». Leur site web indique que la société a été fondée en 2005. Ils précisent qu’AWN « est une filiale d’Advanced Info Service Public Limited Company ou AIS ».

Le réseau d’AWN (AS131445) se connecte directement à celui d’AIS (AS45430), en fait AIS est leur seul homologue en amont. Cette relation est clairement visualisée à l’aide des données publiées par Hurricane Electric :

Il est important de noter que ThaiCERT a contacté AIS au sujet de la base de données exposée, puis la base de données a été mise hors ligne peu après. Il est possible qu’AIS ait rapidement averti AWN, ou qu’ils aient simplement bloqué l’accès à la base de données exposée afin de régler rapidement le problème pour leur filiale.

Quand la fuite a-t-elle commencé ?

D’après les données disponibles dans BinaryEdge, cette base de données a été observée pour la première fois comme étant exposée et accessible au public le 1er mai 2020. J’ai découvert cette base de données environ 6 jours plus tard, le 7 mai 2020.

Il ne s’agissait pas d’un seul serveur laissé exposé sans authentification. La base de données principale que j’ai trouvée faisait partie d’un groupe de trois nœuds ElasticSearch. J’ai également trouvé une quatrième base de données ElasticSearch contenant des données similaires. L’AIS a été informé de toutes ces bases de données exposées.

Quelle quantité de données ?

Au cours des trois semaines environ pendant lesquelles la base de données a été exposée, le volume de données a augmenté de manière significative. La base de données ajoutait environ 200 millions de nouvelles lignes de données toutes les 24 heures.

Pour être précis, au 21 mai 2020 : 8 336 189 132 documents étaient stockés dans la base de données. Ces données étaient une combinaison de données NetFlow et de journaux de requêtes DNS.

Il semble que le trafic de requêtes DNS n’ait été enregistré que pendant environ 8 jours (2020-04-30 20:00 UTC – 2020-05-07 07:00 UTC). 3 376 062 859 journaux de requêtes DNS ont ainsi été enregistrés. On ne sait pas pourquoi ils ont cessé d’enregistrer les requêtes DNS après cette courte période. Peut-être s’agissait-il de beaucoup plus de données que ce qu’ils avaient l’intention d’enregistrer. Ils enregistraient environ 2 538 événements DNS par seconde pendant cette période.

Une seule ligne de journal de requête DNS ressemblait à ceci :

Cela ne ressemble pas à grand-chose, mais une fois agrégée par une seule adresse IP source (la personne/l’appareil/la maison) qui a fait la requête DNS, vous pouvez rapidement brosser un tableau de cette personne.

Les quelque 5 milliards de lignes de données restantes étaient des données NetFlow. Les données NetFlow ont été saisies pendant toute la période pendant laquelle la base de données est restée exposée. Solarwinds décrit le NetFlow comme suit :

« NetFlow est un protocole réseau développé par Cisco pour collecter des informations sur le trafic IP et surveiller le trafic réseau. En analysant les données de flux, il est possible de dresser un tableau du flux et du volume du trafic réseau« .

Les données NetFlow étaient enregistrées à un rythme d’environ 3 200 événements par seconde. Une seule ligne de journal NetFlow ressemblait à ceci :

Ces informations de haut niveau permettent d’enregistrer quelle IP source a envoyé différents types de trafic à une IP de destination particulière, et quelle quantité de données a été transférée.

Dans l’exemple sur la capture d’écran, il s’agissait d’une requête HTTPS (port TCP 443) vers une adresse IP de destination. Il serait possible de faire une recherche DNS inverse sur l’IP de destination pour identifier rapidement le site web que cette personne va utiliser.

Que nous apprennent ces données ?

AWN utilisait un outil appelé ElastiFlow qui simplifie le processus d’obtention des données NetFlow ou sFlow dans Elasticsearch où elles peuvent être rapidement visualisées à l’aide de Kibana.

Le tableau de bord pré-construit « Geo IP » résume la répartition géographique du trafic capté. Il n’est pas surprenant que la majorité du trafic provienne de la Thaïlande, bien qu’une bonne partie du trafic soit également enregistrée dans les pays voisins.

AWN avait construit un tableau de bord pour examiner le trafic DNS qui était enregistré. Il décompose les ASN, les domaines de premier niveau et les IP de premier niveau par fréquence d’interrogation. Je ne vais pas spéculer sur les raisons pour lesquelles AWN enregistrait les requêtes DNS de ses clients.

Il est intéressant de noter qu’AWN avait sauvegardé ce tableau de bord DNS avec un filtre qui examinait spécifiquement le trafic Facebook. On ne voit pas bien pourquoi ils s’intéressaient particulièrement à qui allait sur Facebook.

Que peut-on faire avec ces données ?

Pour prouver que les journaux de requêtes DNS doivent être traités comme des informations sensibles, j’ai choisi une adresse IP source unique avec un trafic faible à modéré dans cette base de données. Je n’ai pas voulu choisir une des adresses IP à plus fort trafic car je pensais qu’il s’agissait plus probablement d’une adresse IP NAT avec plusieurs machines derrière elle.

Avec une adresse IP source unique, il est possible de déterminer rapidement le type d’appareils sur leur réseau, et les réseaux sociaux qu’ils fréquentent – Google, YouTube, Facebook, Soichat.com, TikTok, Line (une application de chat), parmi beaucoup d’autres domaines.

Pour la même adresse IP source, j’ai ensuite interrogé tous les journaux NetFlow répartis par application et par type.

Pour cette seule adresse IP, la base de données contenait 668 enregistrements NetFlow. La base de données contenait également une répartition détaillée des types de trafic provenant de cette adresse IP – combien de trafic DNS, HTTP, HTTPS, SMTP, etc. Ces informations sont effrayantes de détail, mais pas trop identifiables personnellement.

Les requêtes DNS pour cette adresse IP unique deviennent cependant un peu plus personnelles. Le résultat est de 429 lignes de données pour cette adresse IP.

En examinant ces requêtes DNS, on peut déterminer ce qui suit :

En se basant uniquement sur les requêtes DNS, il est possible d’identifier les détails suivants concernant cet individu/ménage :

1. Il possède au moins un appareil Android
2. Il dispose soit d’un appareil Android de Samsung, soit d’un autre appareil Samsung tel qu’un téléviseur connecté à Internet.
3. Il possède au moins un appareil Windows
4. Il possède au moins un appareil Apple
5. Il utilise Google Chrome comme navigateur
6. Il utilise Microsoft Office
7. Il utilise le logiciel antivirus ESET
8. Il visite les sites de médias sociaux suivants : Facebook, Google, YouTube, TikTok, WeChat

Gardez à l’esprit que la base de données n’a enregistré le trafic DNS que pendant 8 jours, et pourtant cela représente plus de 3,3 milliards de requêtes DNS. Les données de ce journal de requêtes DNS peuvent raconter beaucoup d’autres histoires intéressantes et effrayantes…

Comment éviter cela à l’avenir ?

Le fait que des bases de données ElasticSearch soient exposées sur l’Internet public sans aucune forme d’authentification est clairement un problème récurrent. Je n’ai pas beaucoup de temps pour faire ce genre d’enquêtes, mais j’ai trouvé et écrit sur environ 9 fuites de ce type au cours de l’année dernière.

ElasticSearch et Kibana (fabriqués par la même société) ont besoin d’être plus sûrs et plus sains. Il est évident que si la personne qui met en place ces outils est déterminée à les mettre sur l’Internet public, il n’y a aucun moyen d’empêcher cela. Cela étant dit, ces outils (Kibana en particulier) pourraient afficher une gigantesque bannière d’avertissement qui avertirait les utilisateurs si l’outil est détecté comme étant accessible au public sans authentification et ferait reconnaître à l’utilisateur qu’il comprend le risque et les implications de cette situation.

Le DoH et le DoT pour mettre fin à l’espionnage basé sur le DNS

Vous ne pouvez pas vous cacher de NetFlow ou de la collecte de données sFlow auprès de votre FAI. Si vous êtes sur leur réseau, ils peuvent (et vont) suivre l’origine des connexions et la destination de ce trafic.

En ce qui concerne les journaux de requête DNS, c’est facile à résoudre. Utilisez le DoH ou le DoT pour sécuriser vos communications DNS en transit afin que votre FAI ne puisse pas voir, enregistrer, espionner et parfois vendre votre trafic de requêtes DNS. Je connais les différents arguments contre le DoH et le DoT, et la grande majorité d’entre eux sont des tactiques d’intimidation (et de FUD) non fondées de la part d’organisations et d’entreprises ayant un intérêt financier à ce que vous ne sécurisiez pas votre trafic de requêtes DNS.

Le DoH et le DoT sont l’avenir. Mozilla Firefox le supporte, Google Chrome le supporte, Internet Explorer Edge le supporte, Android le supporte, et même Microsoft Windows 10 l’ajoutera bientôt.

Voici un guide utile pour l’activer sur les principaux navigateurs : « Voici comment activer DoH dans chaque navigateur, que les FAI soient damnés »

Pour être clair : Le DoH et/ou le DoT auraient arrêté la collecte des données de requête DNS dans ce cas. C’est simple à mettre en place, et c’est tout simplement une chose intelligente à faire pour toute personne soucieuse de sa vie privée.

Source : Rainbowtabl.es
Traduit par l’équipe Les-Crises

Commentaire recommandé

Ardéchoix // 01.06.2020 à 09h16

@Emile . Dans le même ordre d’idée, si votre banquier assureur ou autre a l’application covidtruc et que son téléphone bip a votre contact, votre prêt ou autorisation de découvert voire assurance vie va biper aussi, ou être tout simplement refusé. C’est beau toute cette modernité lol 😉

5 réactions et commentaires

  • Emile // 01.06.2020 à 08h33

    Commencez par ne pas regler vos actes médicaux par carte bancaire si vous ne voulez pas que toute votre banque sache que vous etes a probleme de sante , surtout si vous consultez un cancérologue dont le nom apparait ou a défaut la spécialité !Regardez vos relevés avec attention ⚠️ !
    Apres c est votre affaire , !!
    alors l etat Scrutateur ,les DNS …. il faut ordonner les problèmes en conscience sans être complotiste !

      +14

    Alerter
    • Ardéchoix // 01.06.2020 à 09h16

      @Emile . Dans le même ordre d’idée, si votre banquier assureur ou autre a l’application covidtruc et que son téléphone bip a votre contact, votre prêt ou autorisation de découvert voire assurance vie va biper aussi, ou être tout simplement refusé. C’est beau toute cette modernité lol 😉

        +17

      Alerter
      • Emile // 01.06.2020 à 11h54

        Ardechoix , je te suis , Coeur Fidele! Mais si ton banquier vient te proposer un Viager c est que les choses se compliquent pour ta santé 👍😂👍! Ce qui est étonnant c est que les gens ne s en rendent pas compte ,Si on ne le leur dit pas,!
        alors les DNS , c est stratosphérique !!

          +6

        Alerter
        • RGT // 02.06.2020 à 21h22

          Concernant le viager, je vous conseille l’excellent film de Pierre Tchernia : Le viager.
          Histoire qui est loin de la « vraie vie » avec le cas de Jeanne Calment qui avait vendu son logement en viager à un notaire, avec le « bouquet » qui a fini par être payé par les petits-enfants dudit notaire ;-).

          Dommage que l’acheteur du viager de Jeanne Calment n’ait pas été un banquier.
          Ils sont largement pires que les notaires.

            +0

          Alerter
  • RGT // 02.06.2020 à 21h39

    Rien de bien neuf dans ce monde…

    Si vous croyez que votre FAI ne vend pas (et ne donne pas non plus) toutes les informations qu’il peut récolter sur vos habitudes de navigation à des « partenaires » marketing ou à la DCRI vous êtes d’une crédulité sans limites.

    Le seul moyen de ne pas être pisté par votre FAI consiste simplement à vous connecter à Internet via un VPN fortement chiffré (crypté est un anglicisme).

    Et soyez prudent dans le choix de votre VPN car s’il est lié au « camp du bien » il pourra intercepter dans ses propres serveurs vos connexions sur « grosnibs.com » et informer les personnes intéressées de vos petites habitudes, ça peut toujours être utile.

    Sans parler de tout moyen de paiement autre que la monnaie fiduciaire anonyme, toute facture établie en votre nom, toute utilisation de « carte de débilité fidélité ou tout message que vous ne déposez pas en main propres entre les mains du destinataire.

    Bref, 1984 ou la police politique de la Corée du Nord sont des amateurs comparés à ce que la technologie peut faire aujourd’hui.

    Vous ne pouvez plus aller vous soulager sur un arbre en forêt sans que ce fait soit enregistré par une « caméra qui passait par là ».

    Et je ne vous parle même pas de vos téléphones mobiles qui vous pistent 24h / 24 avec votre con-sentement.

    Le seul moyen de passer au travers des mailles du filet pourrait consister à vivre comme un ermite loin de tout, mais ce serait immédiatement suspect et vous bénéficieriez immédiatement d’une surveillance renforcée pour « terrorisme intellectuel » ou « anarchisme subversif ».

      +2

    Alerter
  • Afficher tous les commentaires

Les commentaires sont fermés.

Et recevez nos publications