1001 actus: Gmail : victime d’une opération de phishing en Tunisie PC INpact: Phishing massif contre les webmails en Tunisie Ce soir couscous de e-poissons ? Read Write Web: Opération massive de phising sur Gmail en Tunisie WMC: Tunisie-UE : Les projets de la présidence belge Business News: « La loi sur la sécurité économique est une décision souveraine », commente l’ambassadeur belge à Tunis Omar Khayyam: Les interrogateurs et leur docteur – » Aujourd’hui, j’ai envie d’enfreindre la loi « Biju: Les TRAÎTRES à la TUNISIE ont toujours été les mauves
Gmail : victime d’une opération de phishing en Tunisie
Les utilisateurs de Google en Tunisie se plaignent depuis un certains temps de la difficulté qu’ils rencontrent en se connectant sur Gmail. Voilà pourquoi, Slim Amamou, un informaticien tunisien de profession a lancé des recherches sur le sujet. Au final, il affirme avoir découvert qu’une opération de phishing s’effectue depuis un certains temps sur Gmail dans le pays.
Il est à préciser que l’opération en question s’effectue donc toutes les deux heures et dure ainsi 5 mn. Tout en signalant les mêmes problèmes sur Facebook etYahoo.mail, l’informaticien estime qu’il faut impérativement changer les mots de passe.
(Source: 1001 actus le 29 juin 2010)
Lien:http://www.1001actus.com/gmail-victime-dune-operation-de-phising-en-tunisie-51043.html
Phishing massif contre les webmails en Tunisie Ce soir couscous de e-poissons ?
Après avoir vérifié que ce site ne fonctionne pas, que le problème n’était pas causé par un malware et qu’il était répandu dans tout le pays, la conclusion logique est que ce Gmail est un faux. Il a été créé dans le cadre d’une campagne de phishing. Mais puisque l’URL s’affiche correctement, et que même l’adresse IP est la bonne, « pour réaliser une telle opération, il faut un contrôle total du réseau en Tunisie, des câbles jusqu’au protocole HTTP. […] La méthode de la CIA serait donc de bloquer l’accès sécurisé à Gmail afin que les Tunisiens soient obligés d’y accéder en mode non sécurisé, de les détourner vers une machine faisant tourner un faux Gmail sous EasyPHP, pour leur voler leur mot de passe et ainsi prendre possession de leur compte mail ». En effet, une tentative de connexion en HTTPS renvoie une page d’erreur. Grâce à d’autres éléments accumulés dans son enquête, le militant tunisien affirme : « J’ai entre temps reçu la preuve que cette opération dure depuis des mois, certaines personnes affirmant que cela fait plusieurs années que cela est en place. Un conseil : changez vos mots de passe, le FBI vous espionne (ou la DST, encore une fois, rien ne permet d’incriminer la CIA plus qu’autre chose) ». D’autres sites victimes de ces attaques Sur son compte Twitter, Slim Amamou se fait aussi l’écho depuis la publication de sa tribune de tentatives similaires contre YahooMail, Hotmail et Facebook :
Pour éviter ces attaques, Slim Amamou recommande de laisser passer la tempête, ces tentatives durant en général 5 minutes avant que tout redevienne normal. Google de son côté a réagi à l’article en recommandant à ses utilisateurs de toujours utiliser une connexion sécurisée en HTTPS : « Nous encourageons tous les utilisateurs à utiliser HTTPS, qui offre une protection contre le ‘packet sniffing‘ et d’autres tentatives destinées à surveiller et manipuler le trafic réseau. Si vous ne pouvez accéder momentanément à Gmail en utilisant HTTPS, attendez quelques minutes avant de recommencer à nouveau », et de changer le mot de passe si votre compte a pu être compromis.
Opération massive de phising sur Gmail en Tunisie
http://mail.google.com/accountsServiceLoginservicemail&passivetrue&rmfalse&continuehttp3A2F2F mail.google.com2Fmail2F3Fhl3Dfr26tab3Dwm26ui3Dhtml26zy3Dl&bsvzpwhtygjntrz &scc1<mpldefault<mplcache2&hlfr.htm
Pour un néophyte, cela n’est pas vraiment parlant, mais les experts ne s’y tromperont pas : le « .htm » situé à la fin de l’adresse trahit bel et bien une tentative de phising. Ma première expérience avec cette campagne de phising sur Gmail ne durera que quelques minutes avant que les choses ne reviennent à la normale, mais il y a de quoi s’inquiéter : l’adresse IP est la bonne (voir la capture d’écran nmap), pour réaliser une telle opération, il faut un contrôle total du réseau en Tunisie, des câbles jusqu’au protocole HTTP. Attention, je n’accuse absolument pas une agence gouvernementale tunisienne ou l’armée d’être l’auteur de ce détournement de Gmail… ça pourrait aussi bien être la CIA. Après tout la plupart de nos routeurs sont des Cisco et Cisco est obligé, de par la loi américaine, de fournir des backdoors aux agences américaines. J’aime bien cette idée. Disons que c’est la CIA. [ndlr: avec le Patriot Act la CIA n’aurait pas besoin de procéder ainsi et pourrait obtenir ces informations bien plus discrètement] La méthode de la CIA serait donc de bloquer l’accès sécurisé a Gmail afin que les Tunisiens soient obligés d’y accéder en mode non sécurisé, de les détourner vers une machine faisant tourner un faux Gmail sous EasyPHP, pour leur voler leur mot de passe et ainsi prendre possession de leur compte mail. Furieux à l’idée que le KGB puisse ainsi flouer les tunisiens, je me suis mis en tête de surveiller et tracer de façon systématique cette campagne de phising sur Gmail à l’aide d’un crontab qui vérifie si le port 443 est ouvert ou s’il est bloqué – cela peut sembler être du chinois pour beaucoup d’entre vous, mais en gros, s’il est bloqué, c’est qu’un phising est en cours, et s’il est ouvert, c’est que tout va bien. En une journée de surveillance de cette opération, sans doute menée par la NSA, un shéma récurrent semblait se dessiner : le phising a lieu toutes les deux heures et dure précisément 5 minutes. J’ai entre temps reçu la preuve que cette opération dure depuis des mois, certaines personnes affirmant que cela fait plusieurs années que cela est en place. Un conseil : changez vos mot de passe, le FBI vous espionne (ou la DST, encore une fois, rien ne permet d’incriminer la CIA plus qu’autre chose). Par exemple, voici les horaires de passage du train de phishing dans mon sous-réseau 41.226.255.* : 08:35 UTC+1 10:35 UTC+1 12:35 UTC+1 14:35 UTC+1 16:35 UTC+1 18:35 UTC+1 20:35 UTC+1 22:35 UTC+1 00:35 UTC+1 02:35 UTC+1 04:35 UTC+1 06:35 UTC+1 Consignes si vous êtes en Tunisie : laisser passer le train. Allez prendre un café et revenez, ça ne dure que 5min. Et surtout activez l’option sécurisé de Gmail et changez vôtre mot de passe. Entre temps, plusieurs personnes m’ont fait part de problèmes similaires sur Facebook et YahooMail… La suite au prochain épisode… UPDATE Contacté par nos soin, Google confirme implicitement tout cela (pas la CIA ou le KGB, bien sûr, ça c’est une touche d’ironie qui semble échapper à beaucoup) et nous a répondu rapidement. Nous vous livrons ici l’email que nous a fait parvenir son porte parole pour la région.
« Nous sommes conscient que beaucoup de gens dépendent de Gmail et nous nous attelons à le rendre le plus sécurisé possible, et cherchons sans cesse de nouvelles façon de le faire. Nous avons par exemple récemment activé par défaut le HTTPS sur Gmail. Afin de sécuriser l’utilisation de Gmail, nous vous recommandons de ne saisir votre mot de passe que sur les pages dont l’adresse commence par https:// et si un message d’alerte quelconque survient concernant un certificat, de ne surtout pas aller plus loin. Nous encourageons tous les utilisateurs à utiliser HTTPS, qui offre une protection contre le ‘packet sniffing‘ et d’autres tentatives destinées à surveiller et manipuler le trafic réseau. Si vous ne pouvez accéder momentanément à Gmail en utilisant HTTPS, attendez quelques minutes avant de recommencer à nouveau. Si vous pensez que votre compte a été compromis, nous vous incitons à changer immédiatement votre mot de passe et à vous assurer que votre email secondaire est toujours valide (ces données sont accessibles à travers les réglages de compte Google). Si vous ne pouvez plus accéder à votre compte, vous pouvez récupérer un accès en répondant aux questions de sécuritéici. Vous pouvez également consulter ce billet pour obtenir plus de détails concernant notre approche de la sécurité.
26 commentaires pour cet article
- Boudah Talenka 29 juin 2010 à 9:08Autres conseils à l’usage du dissident tunisien (et d’ailleurs) : utilisez des mots de passes différents pour vos différents services internet. Si vous avez des remarques désobligeantes à faire sur votre gouvernement (ou la CIA, ou la DST bien sûr) ne communiquez aucune information personnelle (nom, prénom, région, langage et expression spécifique à une région). Si vous délivrez des informations critiques, utilisez plutôt des relais mondiaux dont la sécurité est le soucis paranoiaques, tel Wikileaks et Freenet. À bon entendeur…
- MortyReaper 29 juin 2010 à 9:42LA Tunisie offre un terrain propice aux intox-detox, la censure… Les exercices de censure en Tunisie seraient-ils un lab experimental, reproductibles à d’autres pays à des périodes entre “chiens et loups” ?
- MortyTheReaper 29 juin 2010 à 9:47La Tunisie offrant un terrain propice aux expériences. Celles-ci sont-elle déjà reproduites dans d’autres pays, y compris occidentaux, à une période entre chiens et loups ?
- Nono 29 juin 2010 à 10:15Je serais curieux de voir le tracert mail.gmail.com lors du pishing comparé au tracert normal!
- H. 29 juin 2010 à 10:18Ouh là *FEAR* J’ai peur ! Le KGB, la CIA, la NSA Wahouuuu. Arrête de regarder X-files, la fin de l’article fait vraiment pitié et cela décridibilise l’ensemble de ce dernier.
- Fabrice Epelboin 29 juin 2010 à 10:26@MortyTheReaper Nous avons des informations sur des opérations similaires dans plusieurs pays, dont récemment la Colombie. @H. Je pense que quelque chose vous a échappé. CIA, NSA… l’utilisation du KGB, disparu depuis longtemps, aurait du vous mettre la puce à l’oreille, tout comme le fait que porter des accusations contre son gouvernement mène, grâce à une récente loi, tout citoyen tunisien en prison. On appelle cela de l’ironie, c’est une tournure dialectique utilise par Voltaire en son temps, ce qui n’a semble-t-il jamais porté atteinte à la crédibilité de ses écrits.
- Samy DINDANE 29 juin 2010 à 10:39GG le gars qui croit que le FBI ou la CIA le surveillent avec un site de phishing (phishing mec, pas phising) qui tourne sur EasyPHP.
- Chlankboot 29 juin 2010 à 10:41Ces gens sont pathétiques puisqu’ils ne sont même pas foutus d’écrire du php qui tourne. Avec les moyens mis en œuvre, faire du phishing serait un jeu d’enfants et non seulement sur Gmail. Il faut vraiment être nul et incompétent pour se faire remarquer comme ça. Je demande officiellement aux autorités CIA KGB DST XXL et WTF de congédier ces incompétents. Si on se fait n.. sans qu’on ne le sache, c’est comme si rien ne s’est passé et puisque c’est obligatoire de se faire niquer, autant se le faire par des professionnels qui ne laissent pas de traces … en attendant le jour ou il y aura une loi qui punit les fonctionnaires (pardon, les agents) qui font de l’excès de zèle.
- koni 29 juin 2010 à 10:42bot Phishing in Tunisia http://twitter.com/tnphish
- Aymen Mekki 29 juin 2010 à 10:44je me rappel que j’ai eu le même message d’erreur d’easyphp avec Facebook : http://www.twitpic.com/rte83 peut on conclure que les tunisiens naviguent dans un internet locale hébergé chez l’ATI ??
- Fabrice Epelboin 29 juin 2010 à 10:45@Samy DINDANE Cf ma remarque faite à H. Par ailleurs, est-il utile de rappeler que si la CIA voulait ces informations, elle n’aurait qu’a les demander à Google comme le lui autorise le Patriot Act ?
- Fabrice Epelboin 29 juin 2010 à 10:46@Aymen Locale et intermitente… oui, je crois qu’on peut voir cela comme ça…
- nurd13 29 juin 2010 à 10:47Euh !?!? la date sur la capture d’écran est du 16 novembre … ça date un peu non ?
- Fabrice Epelboin 29 juin 2010 à 10:51@nurd13 Oui, soit la date de sa bécane a été changé pour une raison que j’ignore, soit tout cela est pisté par des hackers tunisiens depuis belle lurette… Des témoignages affirment que tout cela est en place depuis des années…
- Slim Amamou 29 juin 2010 à 11:18@nurd13 la capture a bien été faite à cette date là. Ce qui prouve que le phishing systématique date au moins depuis novembre 2009. Et il continue jusqu’à en ce moment même dans différentes parties du réseau Tunisien
- Ali jani 29 juin 2010 à 12:59Hmm, j’ai commencé à gober le truc jusqu’à ce que je suis arrivé à la partie FBI, NSA, CIA. Là, je dis, il faut parfois arrêter de regarder la série 24…
- Fabrice Epelboin 29 juin 2010 à 13:01@Ali Même réponse que pour H. http://fr.readwriteweb.com/2010/06/29/nouveautes/opration-massive-de-phising-sur-gmail-en-tunisie/#comment-14162 Par ailleurs, dois-je rappeler que Google a officiellement commenté sur cette affaire et confirme implicitement tout cela ? (cf italique à la fin de l’article).
- Fabrice Epelboin 29 juin 2010 à 13:02Y-a-t-il une personne qui ai remarqué que le KGB a disparu depuis plusieurs décennies ? Ca ne vous met pas la puce à l’oreille ?
- f.. trabelsi 29 juin 2010 à 13:04pour les commentaires, qui parle de CIA, KGB et DST, vous etes con oui quoi? le mec il est en tunisie il ne peux pas dire que le gouvernement d’Ali baba (pardon ben ali) fait du phishing, piratage,…donc …tu dis ça ==> prison garantie. @Slim bravo! les mecs qui font ça, apparemment il sont trés trés compétents, (c’est vrai ce n’est pas de l’ironie) MAIS il utilise easyphp, ça colle pas!!!!!!!!!!!!!! 1/ soit c’est un mélange de compétents et de con! 2/ soit Ali baba veut qu’on sache qu’il nous supervise, car comme l’ont dit, ali baba veut qu’on sache qu’on se fait ni…, c’est plus douloureux. sacré ali baba CDT les Trabelsi, we are the power
- Slim Amamou 29 juin 2010 à 14:11@fuck c’est un mélange de compétents et de cons. comme partout ailleurs.
- revolution tunisie 29 juin 2010 à 14:20ça ne m’étonne pas. Dites vous qu’une cellule de l’ATI sévisse dans les locaux du ministère de l’intérieur, cette unité ne porte pas de nom, et ses employés n’ont aucun statues. Ils ont un contrôle total à distance de tous les routeurs, switchers, serveurs DNS confondus. Ils filtrent tous les paquets sortants ou entrants en usant de keyword (ben ali, nawaat, trabelsi, materi…) Ils sondent des noms spécifiques, dailleurs @Slim, tous les paquets contenant ton nom non crypté sont automatiquement stockés pour être décryptés ultérieurement, c’est comme ça d’ailleurs qu’ils dérobent les mots de passe des comptes non https. Ils ont aussi accès à tout compte bancaire sur le sol tunisien, transaction de payement en ligne et virement de l’étranger, … D’ailleurs, dernièrement (il y’a 2 mois), une affaire de détournement de fond à l’intérieur même de ce service a bouleversé l’hiérarchie, au plus haut niveau. Trois informaticiens, dont un hacker, et une personne que je connais en personnes, ont écopé chacun de 7 années de prisons fermes et de 150 000 DT d’amande. Je ne peux pas vous en dire plus (pour la sécurité de ces personnes), mais dites vous que l’internet tunisien tend vers un intranet géant, avec une zone tampon administrée par une bande d’imbéciles heureux, dont la mission est l’abrutissement des masses. Une insulte à l’intelligence d’un peuple démuni de sa liberté de penser …
- Noob 29 juin 2010 à 17:35Ce qui est “amusant”, c’est que ce que je trouve presque le plus choquant c’est l’incompétence de celui (ou ceux) qui font cela… EasyPHP, avec en plus un accès à des pages d’EasyPHP… la honte ! Vraiment la honte !
- Sami 29 juin 2010 à 19:10Ce n’est pas une chose récente. J’ai déjà vu cette fausse page depuis 2009.
- elmadj 29 juin 2010 à 19:17La surveillance de l’Etat Tunisien est effrayante! Bon courage à vous. D’autre part cela me parrait assez drole que certains n’aient pas compris l’ironie derrière les mentions du KGB/CIA …
- Sabri MAHJOUB 29 juin 2010 à 20:25Il est aussi possible que les serveurs DNS soit piratés .. ce n’est pas la première fois
- Mohamed Salah 29 juin 2010 à 20:36c’est triste que certains ne comprennent même pas le sarcasme, et prennent les choses au premier degré..
(Source: « Read Write Web » le 29juin 2010)
« La loi sur la sécurité économique est une décision souveraine », commente l’ambassadeur belge à Tunis
Par Omar Khayyam
Lorsqu’on me raconte une histoire intéressante, je n’ai pas besoin de prendre des notes pour en rentenir les détails les plus « croustillants ». Le récit qui suit remonte au milieu des années 90. Depuis, il est resté gravé dans ma mémoire. Puisque ce genre d’histoires n’arrivent qu’aux autres, je n’en suis qu’un simple rapporteur. Hédi *, émigré tunisien en France depuis les années 70, rencontré au hasard d’un dîner de mariage dans la ville de M., est le « héros » de cette histoire kafakaïenne.
Hédi a l’habitude de rentrer chaque été passer ses vacances à M., sa ville natale. Jusqu’à un certain jour de canicule de l’été 199…, Hédi n’a jamais eu de problème ni avec la police des frontières ni avec les douanes. Sa vie parisienne est celle de l’immigré bien intégré et sa vie tunisienne est celle de l’émigré ordinaire, apolitique et apporteur de devises à la Banque Centrale de Tunisie.
Ce jour-là, le jour le plus long de sa vie, il débarque comme chaque été à l’aéroport Habib Bourguiba de Monastir. Lorsqu’il arrive au poste de contrôle de la police des frontières, le policier le salue, prend son passeport tunisien et enregistre cette énième entrée de Hédi sur un terminal, connecté à l’ordinateur central de la Direction des Frontières et des Étrangers. Soudain, un code que seuls les initiés de l’Intérieur savent déchiffrer fait bip sur l’écran du policier. Il saisit le passeport de Hédi et l’invite poliment à le suivre. Ce dernier ne comprend pas ce qui lui arrive. Il n’a jamais appartenu au moindre mouvement ou parti politique ni en Tunisie ni en France. En plus, il se trouvait toujours en France pendant les périodes de fièvre politique, telles que la grève générale du 26 janvier 1978 et les émeutes qui l’ont suivie, la « révolte du pain » de janvier 1984, le bras de fer entre Bourguiba et le MTI (Mouvement de Tendance Islamique) en 1987, la « sale guerre » de Ben Ali contre les mêmes islamistes au début des années 90 etc.
Malgré son insistance, Hédi ne reçoit aucune explication sur le motif de sa rétention. Il est conduit à une salle d’attente anonyme et prié de s’asseoir sur une chaise. Ainsi a-t-il passé la nuit, seul, rongé par l’inquiétude. Le suspect, insomniaque malgré lui, n’est encore accusé de rien, mais il commence à examiner minutieusement son passé pour chercher son délit. Il ne trouve rien. La seule piste à explorer est, peut-être, celle d’un accident de la route impliquant des tiers pendant un séjour antérieur en Tunisie. Sauf trou de mémoire, cette hypothèse est à écarter aussi.
Tôt le matin, un policier en uniforme vient le chercher. Il l’embarque dans une voiture de police qui les conduit jusqu’à la gare de Sousse, située à une vingtaine de kilomètres de l’aéroport. Lorsqu’ils arrivent à la gare, le policier prend congé de son collègue conducteur et informe Hédi qu’ils vont prendre le train Sousse-Tunis pour aller au Ministère de l’Intérieur. Lorsqu’ils s’apprêtent à monter ensemble dans le train, le flic lui dit gentiment: » Il me semble que vous êtes une personne civilisée. C’est pourquoi je ne vais pas vous mettre les menottes. »
Après un voyage assez confortable de deux heures et demie, l’agent et le détenu sans menottes arrivent enfin à Tunis. Ils traversent la Place Barcelone à pied et marchent tranquillement jusqu’au Ministère de l’intérieur, situé à une dizaine de minutes de la gare. Lorsqu’ils arrivent à leur destination finale, l’agent accompagnateur confie son « prisonnier » à un collègue en civil. Ce dernier conduit Hédi à une grande salle où un groupe de personnes cravatées attendait impatiemment son arrivée.
Hédi salue ses interrogateurs. Ils font semblant de le saluer à leur tour. Les interrogateurs forment un demi-cercle autour de la seule chaise vacante, celle de leur invité. Les cadres de la Sûreté de l’État veulent tout savoir sur la vie, présente et passée, de Hédi. Ils veulent surtout avoir tous les détails sur ses croyances et pratiques religieuses. Il leur avoue qu’il n’a jamais prié et qu’il ne fait plus le ramadan depuis son émigration en France. Mais les questions liées à la religion continuent de fuser comme des rafales. Exaspéré, Hédi sort de ses gonds: » Mais Messieurs, je suis au bord de l’athéisme ! » Cet aveu spontané les a calmés.
Hédi note la présence d’un personnage énigmatique, taciturne, qui porte des lunettes d’intello, assis au milieu du groupe interrogateur. Lorsqu’ils s’adressent à lui pour commenter une déclarartion du suspect, ses collègues l’appellent toujours « doktour » (docteur). Mais docteur en quoi ? S’agit-il d’un psy déguisé en flic ou d’un flic déguisé en psy ? Hédi penche pour la première hypothèse, mais impossible d’en avoir le coeur net.
L’interrogatoire dure environ quatre heures. Hédi ne subit taucune torture, aucune insulte. Il s’avère, vers la fin de cet interrogatoire plus ou moins serré, que la Sûreté de l’État est vraisemblablement à la recherche d’un homonyme, un autre Hédi « au bord de l’islamisme ». Blanchi de tout soupçon, Hédi veut néanmoins savoir l’origine de l’équivoque. On lui répond: « Ça ne vous concerne pas !« . Mais Hédi insite, car il n’a pas envie de revivre le même calvaire à chaque entrée en Tunisie. Les flics l’ont rassuré: » Ne vous inquiètez pas. Nous allons clarifier le malentendu.«
Lorsqu’il quitte le sinistre bâtiment de l’Intérieur, Hédi n’a plus qu’une seule envie: dissoudre le cauchemar qu’il vient de vivre dans un océan de bière. Il entre dans le premier bar qui se trouve sur son chemin et commande quatre bières. à la fois. Apparemment, il est le premier client de ce bar étrange où la seule âme qui vive est celle du barman. Ce denier lui dit: » Malheureusement, je ne peux pas servir d’alcool avant deux heures de l’après-midi. C’est l’heure légale d’ouverture. Vous ne pouvez pas patienter dix minutes ? « .
Pour Hédi, qui vient de se réveiller d’un mauvais rêve, dix minutes c’est presque aussi long que l’éternité. Il sort un billet de vingt dinars, le glisse dans la poche du braman et lui dit: « Aujourd’hui, j’ai envie d’enfreindre la loi ! «
* Nom fictif
Les TRAÎTRES à la TUNISIE ont toujours été les mauves
Par Biju
Home – Accueil – الرئيسية