Tunisie: Campagne de piratage des comptes Facebook par la police tunisienne (?)

De nombreux indices faits avérés me laissent croire que depuis quelques jours nous vivons ce qui ressemblerait fort à une campagne de piratage des comptes Facebook par la police tunisienne. Il s’agit vraisemblablement d’une campagne destinée surtout à subtiliser les log et mot de passe des utilisateurs afin de fouiner dans leurs messages privés. Par ce moyen, la police, en quête de renseignements, chercherait à s’infiltrer dans les comptes des utilisateurs pour savoir qui communique avec qui et sur quel sujet. Il s’agirait en somme de chercher à démanteler ces réseaux de journalisme citoyen qui se sont constitués spontanément suite aux mouvements de contestation de Sidi-Bouzid.

Depuis les événements de Sidi-Bouzid qui ont montré, en effet, l’importance des réseaux sociaux quant à la circulation de l’information, des perturbations récurrentes du réseau ont été constatées. Pour le cas de Facebook, les connexions en HTTPS notamment pour se logger sont souvent impossibles à établir. Le pouvoir tunisien n’a pas osé, comme il l’a fait par le passé, bloquer les services du réseau social le plus utilisé par les Tunisiens. Cette fois-ci, il semble qu’il chercherait plutôt à atteindre directement ceux qui l’utilisent pour faire circuler l’information, plutôt que de s’attirer les foudres de tous les utilisateurs par un blocage total de Facebook.

En effet, les utilisateurs tunisiens constatent ces derniers jours qu’il n’est plus possible de se logger en HTTPS. La page du formulaire de connexion n’est désormais plus accessible qu’en HTTP. Et il semble même que pour brouiller davantage les pistes, ce blocage du HTTPS est rétabli par intermittence afin de nourrir la confusion pour ceux qui désirent reproduire le problème.

Toujours est-il, nous ne voyons aucune raison qui pousserait à bloquer le https tout en maintenant la possibilité de se logger en http, hormis la volonté de subtiliser log et mot de passe des utilisateurs pour s’introduire dans leurs comptes.

J’ai fait faire des tests en Tunisie par des amis et la conclusion est formelle : il n’y a aucun problème du côté de Facebook à fournir ses services en HTTPS.

Et tous les Tunisiens peuvent reproduire ce constat par la manière suivante :

Le https de Facebook est fourni via l’IP officiellement déclarée « 69.63.181.12 ». Sur cette IP, la police tunisienne a bloqué le port 443. Or, pour avoir la démonstration formelle des manigances de la police de l’internet, il suffit de forcer la couche réseau du système à utiliser une IP alternative de Facebook pour que les requêtes en HTTPS passent. En effet, en insérant les deux lignes suivantes dans le fichier « hosts », le https est rétabli et les connexions s’effectuent sans la moindre perturbation (cf. les illustrations plus bas en annexe pour plus de détails):

69.63.181.11 facebook.com
69.63.181.11 www.facebook.com

Evidemment, ce que je décris ici sera encore valable jusqu’à ce que la police tunisienne passe par Nawaat, comme elle le fait souvent, et bloque ce numéro IP.

En tout état de cause, nous rappelons à tous les utilisateurs de Facebook et, a fortiori, s’ils se connectent à partir de la Tunisie : NE VOUS CONNECTEZ JAMAIS à partir d’une page non sécurisée. Même si vous n’avez rien à cacher, n’oubliez jamais que vous êtes également dépositaire de la confiance des personnes qui vous envoient des messages privés. Même si, vous, ça vous est égal que l’on puisse fouiner dans vos messages privés, on se doit, tout un chacun, d’honorer la confidentialité des messages privés que nous recevons.

Astrubal, le 03 janvier 2011
Co-admin Nawaat.org
http://astrubal.nawaat.org
Mon compte sur Twitter @astrubaal
Nawaat sur Twitter @nawaat

Voici les illustrations pour la modification du fichier « hosts ». Et, tant qu’à faire, je rajoute d’autres IP pour faciliter la vie face à la censure. Voici les lignes à insérer :

69.63.181.11 facebook.com
69.63.181.11 www.facebook.com
74.205.65.178 24sur24.posterous.com
74.205.65.178 posterous.com
74.125.232.114 tunileaks.appspot.com # IP Google search
74.125.232.112 astrubal.appspot.com # IP Google search
74.125.232.117 astrubal-bookmarklet.appspot.com # IP Google mail

Outre pour facebook, il y a de quoi contourner la censure pour accéder à nawaat sur posterous (24sur24.posterous.com), sur tunileaks.appspot.com, un proxy et la page des bookmarklets anticensure. A NOTER QUE TOUS CES SITES NE DEVIENNENT ACCESSIBLES QU’EN HTTPS et non en http. Puisqu’en http, il n’y a aucun recours contre le filtrage par DNS, vu que les chaînes de caractères ne sont pas cryptées.

A noter aussi que https://tunileaks.appspot.com devient quasiment incensurable, sauf à bloquer carrément l’internet ou à bloquer les services de Google. Il en est de même avec le proxy https://astrubal.appspot.com/

Pour les IP sur Posterous et Facebook, et parce que proposées dans ce billet, elles seront malheureusement à la merci du censeur qui pourra les bloquer à tout moment. Mais j’espère que ces illustrations vont plutôt servir à guider comment utiliser le fichier « hosts » pour contourner la censure. En effet, si ces IP seraient demain ou après-demain bloquées, vous connaissez à présent la procédure pour mettre d’autres IP à leur place. Pour Facebook, vous devriez bien pouvoir trouver d’autres IP qui fonctionnent parmi les 4080 de la classe qui s’étale entre 69.63.176.0 et 69.63.191.255.

Place aux images à présent pour illustrer la procédure (illustration sur Windows suivie par celle sur Mac OS X). Et pour plus de détails afin de mieux comprendre le sens de cette procédure, ici un billet où j’essaye d’expliquer comment tout cela fonctionne.