Un outil Internet utilisé par les manifestants de Hong Kong a été ciblé dans une attaque historique par les attaquants basés en Chine, a rapporté Global Voices. Selon le réseau international de blogueurs, le LIHKG, un site de forum multicatégories basé à Hong Kong, est un important forum de diffusion d'informations et de discussions stratégiques dans les manifestations contre l'extradition à Hong Kong, depuis mars dernier. L'attaque a été lancée avant un rassemblement du 31 août, qualifié d' « illégal » par la police de Hong Kong.
Pour rappel, Hong Kong est plongé depuis le 9 juin dans une des pires crises de son histoire. En effet, le pays est en proie à de violentes manifestations qui opposent les forces de l’ordre à des manifestants prodémocratiques. Un peu plus tôt, à la fin du mois d’avril, un projet de loi a été présenté par le gouvernement pro-Pékin de Hong Kong afin d’autoriser les extraditions des résidents de Hong Kong vers la Chine. Ce projet de loi qui ne gagna pas l’assentiment de la population hongkongaise a suscité de vives réactions.
Bien que le projet de loi ait été suspendu après les premiers affrontements violents en début juillet, l’on assiste toujours à de violentes manifestations qui opposent les forces de l’ordre aux manifestants dont les revendications sont maintenant d’ordre démocratique. Il faut noter également que dans cette crise, la répression ne se limite pas seulement à la rue. D’après un rapport de BBC News publié le 3 septembre, le gouvernement de Hong Kong (chapeauté par celui de Pékin) surveille également les communications en ligne afin de ne pas se laisser surprendre.
Selon Global Voices, LIHKG a été attaqué le 31 août par le grand canon chinois, un outil utilisé pour lancer des attaques massives par déni de service distribué (DDoS) en insérant un script qui intercepte d'énormes quantités de trafic Web et les redirige vers des sites Web ciblés. Selon une déclaration officielle publiée par le forum sur son site Web à la même date, entre 08:00 et 23:59, le site a reçu 1,5 milliard de demandes au total. Au plus fort de l'attaque, le forum recevait 260 000 requêtes par seconde et 6,5 millions de visiteurs uniques par heure.
Comme l'ampleur de l'attaque était sans précédent, l'administrateur du forum pense qu'elle était soutenue par l'Etat : « Nous avons des raisons de croire qu'il y a un pouvoir, ou même un pouvoir au niveau national derrière pour organiser de telles attaques, car des botnets du monde entier ont été manipulés pour lancer cette attaque ».
Selon la déclaration du forum, l'énorme quantité de demandes de réseau a causé une congestion d'Internet et une surcharge sur le serveur qui ont parfois affecté l'accès à LIHKG. L'équipe de sécurité a rapidement restauré le site Web avec des mesures de protection - un CAPTCHA sur la page d'ancrage. Cependant, l'application mobile de LIHKG a été perturbée pendant quelques jours et est toujours instable, d’après le rapport de Global Voices publié le vendredi dernier.
Selon LIHKG, bien qu'il n'existe pas de solution parfaite pour prévenir les attaques DDoS, depuis 31 août « des efforts ont été déployés par les administrateurs du forum LIHKG pour surveiller et prendre des mesures afin de reprendre le service le plus rapidement possible, et la première vague d'attaques a été bloquée avec succès », peut-on lire dans le communiqué du forum. Le forum a également rassuré que les données du site Web et les informations des membres n’ont pas été affectées.
LIHKG a été conforté dans sa position selon laquelle l’attaque provient de la Chine. En effet, au fur et à mesure que la nouvelle de l’attaque contre le forum se répandait, des groupes techniques locaux et étrangers ont apporté leur soutien au forum afin de découvrir d'où venait l'attaque. Un tweet publié le 31 août a soutenu que le DDoS a été redirigé par un script d'entreprises chinoises :
Selon le LIHKG, le trafic massif vers le forum a été redirigé via les sociétés chinoises Qihucdn.com et Baidu. En effet, l'enregistrement d'informations de domaine montre que Qihucdn.com a été enregistré à Beijing et le serveur de noms est 360safe.com, de même que Qihoo 360, une société chinoise leader de plateforme Internet qui prétend « protéger les ordinateurs des utilisateurs et les appareils mobiles contre les logiciels malveillants et les sites malveillants », a rapporté Global Voices.
Selon Global Voices, Qihoo est connue pour ses malwares de whitelisting. Comme le produit de protection de sécurité de Qihoo est largement utilisé par les net-citoyens et les petites entreprises de Chine continentale, les utilisateurs du LIHKG ont accusé l'entreprise d’être à l’origine de l'attaque DDoS en insérant un script feedback par le biais de leur « service de sécurité ». Les utilisateurs de LIHKG accusent également le plus grand moteur de recherche Baidu d’avoir redirigé du trafic vers LIHKG. Baidu avait précédemment été montré du doigt dans une autre attaque massive de « grand canon » qui a ciblé Github en 2015.
Un précédent « Grand Canon » avait déjà été attribué à la chine
En 2015, lorsque Github a été attaqué et que Baidu a été accusé, le site Web a nié son implication et sa responsabilité puisque l'attaque a été lancée par un dispositif « man-in-the-middle » (ou attaque de l'intercepteur en français). Mais si les entreprises ne sont pas à l’origine de l’attaque qui vient de la Chine, les yeux se tourneront bien évidemment vers le gouvernement chinois, qui contrôle le Grand Pare-feu qui bloque les sites Web sensibles et filtre les mots-clés sensibles.
Toutefois, selon les rapports techniques sur l’attaque DDoS de 2015 contre Github, l'attaque a été lancée par l'intermédiaire d'un dispositif « man-in-the-middle » qui interceptait les demandes Web en provenance d'ailleurs dans le monde, puis remplaçait le contenu par du code JavaScript qui attaquait le site Web. Selon les rapports, le dispositif a intercepté les analyses de Baidu et redirigé le trafic vers Github, et l'attaque semble venir « de partout », a rapporté Global Voices.
Ce genre d’attaque agressive a été qualifié pour la première fois de « Grand Canon » par Citizen Lab, un centre de recherche sur les technologies de l'information et de la communication basé sur les droits de la personne de l'Université de Toronto, d’après Global Voices. Citizen Lab a découvert en 2015 que le Grand Canon peut « manipuler le trafic des systèmes « bystander » hors de Chine, programmant silencieusement leurs navigateurs pour créer une attaque DDoS massive ». Selon le centre de recherche, l'attaque est similaire au système QUANTUM de la NSA, capable de « cibler tout ordinateur étranger qui communique avec tout site Web basé en Chine qui n'utilise pas pleinement HTTPS ».
Chris Doman, un expert en cybersécurité, a passé en revue le script java de l'attaque Grand Canon contre LIHKG et a posté un tweet :
Un autre tweet a indiqué que l’attaque contre le forum provenait du monde entier. Alors que le LIHKG a bloqué toutes les adresses IP de la Chine continentale pour se prémunir contre des attaques, quand quelqu'un de l'étranger visitait le site Web de Baidu ou Qihoo360 hébergé en Chine continentale, le script les dirigeait vers LIHKG. C’est ainsi que le forum a fait face à une attaque DDoS massive venant de partout dans le monde, a rapporté Global Voices.
L’attaque contre LIHKG n'est pas un cas isolé. Selon Global Voices, la majorité des médias indépendants et des forums citoyens à Hong Kong sont victimes d'attaques DDoS au niveau de l'État de la Chine continentale. En 2014, le site de vote et le site d'actualités Apple Daily, dirigés par des citoyens, ont fait l'objet d'attaques DDoS, dans une tentative de réduire au silence les voix qui soutenaient la campagne d'occupation centrale et un référendum civil qui visait à modifier le système électoral local. Toutefois, les autorités locales n'ont mené aucune enquête sur les attaques dirigées contre des civils, d’après le rapport.
Global Voices a rapporté que la majorité des médias locaux indépendants et des sites activistes sont obligés aujourd’hui de bloquer les adresses IP de la Chine continentale et de souscrire à des plans de sécurité coûteux pour rester accessibles aux utilisateurs d'Internet. Les net-citoyens ne peuvent prendre que des mesures de protection très passives pour éviter d'assister à des attaques de même nature.
Par ailleurs, l’ampleur du contrôle de l’Internet de la Chine à Hong Kong est tellement considérable que de nombreux manifestants à Hong Kong utilisent Bridgefy, l'application mobile Bluetooth qui permet de communiquer par message sans passer par Internet, afin d'échapper à la surveillance de la Chine, selon rapport de BBC News publié la semaine dernière.
Sources : LIHKG
Et vous ?
Que pensez-vous de l’attaque « Grand Canon » ?
Quel commentaire faites-vous des attaques répétées de la Chine continentale contre les infrastructures Internet des citoyens et entreprises à Hong Kong ?
Selon vous, comment peut-on se protéger de ce type d’attaque ?
Lire aussi
La Chine aurait lancé une cyberattaque massive contre la messagerie chiffrée Telegram, pour empêcher aux manifestants à Hong Kong de s'organiser
Les Fournisseurs d'accès à Internet de Hong Kong refusent d'aider la Chine à censurer Internet, car « de telles restrictions marqueraient le début de la fin de l'Internet ouvert de Hong Kong »
De nombreux manifestants à Hong Kong utilisent Bridgefy, l'application mobile Bluetooth qui permet de communiquer par message sans passer par internet, afin d'échapper à la surveillance de la Chine
La Chine intercepte des textes de WeChat provenant des États-Unis et de l'étranger, des millions de conversations tenues à l'étranger étant signalées, collectées et stockées, selon un chercheur
Twitter est bloqué en Chine, mais l'agence de presse d'État chinoise achète des tweets sponsorisés, pour dépeindre les manifestants de Hong Kong comme violents
Le « Grand Canon » chinois, un outil utilisé pour lancer des attaques par déni de service distribué (DDoS), a ciblé LIHKG, un forum basé à Hong Kong,
Dans une attaque sans précédent
Le « Grand Canon » chinois, un outil utilisé pour lancer des attaques par déni de service distribué (DDoS), a ciblé LIHKG, un forum basé à Hong Kong,
Dans une attaque sans précédent
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !