[ad_1]

La Chine détourne activement le trafic Web non crypté destiné à son principal service de recherche en ligne — Baidu.com – de sorte que certains visiteurs de l’extérieur du pays ont été involontairement enrôlés dans une nouvelle et troublante série d’attaques par déni de service visant à mettre à l’écart les sites qui distribuent des outils anti-censure, selon une étude publiée cette semaine.

Les résultats, publiés aujourd’hui dans un article conjoint par des chercheurs Laboratoire citoyen de l’Université de Torontola Institut international d’informatique (ICSI) et le Université de Californie, Berkeley, suivre un développement remarquable dans l’affichage de plus en plus public de la Chine de ses prouesses en évolution dans la cyberguerre.

« Leur volonté d’être si public me mystifie », a déclaré Nicolas Tisserand, un chercheur de l’ICSI qui a aidé à creuser les indices sur la mystérieuse attaque. « Mais cela semble être une déclaration très publique sur leurs capacités. »

grand canon

Plus tôt ce mois-ci, GithubGenericName – un référentiel de code open-source – et greatfire.org, qui distribue des logiciels pour aider les citoyens chinois à échapper aux restrictions de censure édictées par le soi-disant « Grand pare-feu de Chine », se sont retrouvés à la réception d’une attaque massive et en constante évolution apparemment conçu pour empêcher les gens d’accéder aux sites.

Les experts savent depuis longtemps que le grand pare-feu chinois est capable d’empêcher les internautes de l’intérieur du pays d’accéder à des sites en ligne qui hébergent du contenu jugé interdit par le gouvernement chinois. Mais selon les chercheurs, cette dernière innovation de censure ciblait les internautes de l’extérieur du pays qui demandaient diverses pages associées à Baidu, de sorte que le trafic Internet d’un petit pourcentage d’internautes à l’extérieur du pays était discrètement redirigé vers Github et greatfire.org.

Cette méthode d’attaque, que les chercheurs ont surnommée le « Grand Canon », fonctionne en interceptant le trafic non chinois vers les propriétés Web de Baidu, a expliqué Weaver.

« Il n’intercepte que le trafic vers un certain ensemble d’adresses Internet, puis ne recherche que des requêtes de script spécifiques. Environ 98 % du temps, il envoie la requête Web directement à Baidu, mais environ 2 % du temps, il dit : « D’accord, je vais abandonner la requête destinée à Baidu », et à la place, il fournit directement la réponse malveillante. , répondant avec un peu de Javascript qui fait participer le navigateur de l’utilisateur à une attaque DOS, a déclaré Weaver.

Les chercheurs ont déclaré avoir suivi l’attaque pendant plusieurs jours après que Github ait apparemment trouvé comment filtrer le trafic malveillant, qui s’appuyait sur des fichiers Javascript malveillants qui étaient servis aux visiteurs en dehors de la Chine qui parcouraient diverses propriétés de Baidu.

De manière effrayante, le rapport conclut que les censeurs chinois auraient pu facilement servir un code malveillant pour exploiter les vulnérabilités connues des navigateurs Web.

« Avec une modification mineure du code, ils auraient pu fournir des exploits à des cibles [Internet addresses]de sorte qu’au lieu d’intercepter tout le trafic vers Baidu, ils serviraient des attaques de logiciels malveillants à ces visiteurs », a déclaré Weaver.

Fait intéressant, ce type d’attaque n’est pas sans précédent. Selon des documents divulgués par le dénonciateur de la National Security Agency Edward Snowden, la NSA et les services de renseignement britanniques ont utilisé un système baptisé « QUANTUM » pour injecter du contenu et modifier les résultats Web pour des cibles individuelles qui semblaient provenir d’une plage présélectionnée d’adresses Internet.

« Le gouvernement chinois peut dire de manière crédible que les États-Unis ont fait des choses similaires dans le passé », a déclaré Weaver. « Ils ne peuvent pas dire que nous avons lancé des attaques DDoS à grande échelle, mais le gouvernement chinois peut honnêtement affirmer que les États-Unis ont modifié le trafic en vol pour attaquer et exploiter les systèmes. »

Weaver a déclaré que les attaques du Great Cannon ne réussissent pas lorsque les gens naviguent sur des sites chinois avec une adresse Web qui commence par « https:// », ce qui signifie que les internautes réguliers peuvent limiter leur exposition à ces attaques en insistant sur le fait que toutes les communications Internet sont acheminés via des connexions « https » par rapport aux connexions « http:// » non chiffrées dans leurs navigateurs. Un certain nombre de plug-ins de navigateur tiers, tels que https-everywhere, peuvent aider les utilisateurs à atteindre cet objectif.

« La leçon ici est de crypter toutes les choses tout le temps toujours », a déclaré Weaver. « Si vous devez vous soucier d’un adversaire d’un État-nation et s’il peut voir une requête Web non cryptée qu’il peut lier à votre identité, il peut l’utiliser comme véhicule d’attaque. Cela a toujours été le cas, mais c’est maintenant la pratique.

Mais Bill Marczak, un chercheur de Citizen Lab, a déclaré que s’appuyer sur une stratégie de cryptage permanente n’est pas un moyen infaillible de contrer cette attaque, car des plug-ins comme https-everywhere continueront de diffuser du contenu non crypté régulier lorsque les sites Web refusent ou n’offrent pas le même contenu via une connexion cryptée. De plus, de nombreux sites Web tirent du contenu de diverses sources en ligne, ce qui signifie que l’attaque Great Cannon pourrait réussir simplement en s’appuyant sur les ressources fournies par les réseaux publicitaires en ligne qui diffusent des publicités sur une variété de sites Web à partir d’un éventail vertigineux de sources.

« Certains des scripts injectés dans cette attaque proviennent de réseaux publicitaires en ligne », a déclaré Marczak. « Mais ce type d’attaque suggère certainement une utilisation beaucoup plus agressive de https lorsqu’il est disponible. »

Pour une plongée approfondie dans la recherche référencée dans cette histoire, consultez ce lien.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *