La Chine aurait monté une attaque contre outlook.com

Les utilisateurs chinois du service de messagerie outlook.com (précédemment hotmail.com) auraient été victimes de piratage ce week-end par les autorités chinoises, d’après GreatFire.org.

GreatFire est une organisation qui surveille les abus de censure du gouvernement chinois.

Les utilisateurs du service utilisant des logiciels traditionnels de gestion de messagerie comme Outlook ou Thunderbird ou des applications sur leurs smartphones utilisant les standards POP ou IMAP, auraient été victimes d’une attaque de l’homme du milieu. Ce type d’attaques a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis.

C’est une attaque relativement facile à monter pour les autorités chinoises, qui contrôlent très largement les infrastructures Internet, d’où le nom de Great Firewall (grand pare-feu), par allusion à la Grande Muraille de Chine. D’après GreatFire, l’Administration du Cyberespace de la Chine (CAC) serait directement en cause.

Il lui suffit de modifier l’adresse DNS des serveurs outlook.com et de lui substituer un serveur d’espionnage qui s’intercale de façon invisible entre les serveurs outlook.com et les utilisateurs chinois.

Un client de messagerie pourrait détecter l’utilisation d’un faux certificat SSL, ou d’un certificat SSL manquant – dans la mesure où une connexion chiffrée est configurée. Mais les messages concernant ces erreurs peuvent passer facilement inaperçues dans les clients traditionnels de messagerie, d’autant qu’ils ont tendance à fonctionner en tâche de fonds toute la journée et qu’il est habituel de cliquer le bouton continuer en cas d’erreur.

outlook-MITM
Les navigateurs Web affichent des messages d’erreur plus notables que les clients traditionnels

 

Dans ce cas, les cyberpirates d’État ont utilisé un faux certificat auto-signé.

Notons que les clients qui auraient utilisé un navigateur Web pour se connecter directement à https://outlook.com ou https://login.live.com n’ont pas été victimes de l’attaque, qui aurait duré plus d’une journée.

Cette attaque intervient quelques semaines après les attaques contre le service de messagerie concurrent de Google, Gmail, qui avait été désactivé puis interrompu fortement afin d’inciter les Chinois à utiliser des services locaux de messagerie. GMail est toujours inutilisable en Chine.

La Chine n’aime pas les systèmes qu’elle ne peut pas surveiller ou contrôler facilement, et est coutumière des attaques de l’homme du milieu.

Il y a trois mois, iCloud d’Apple en était victime, incitant Tim Cook à aller en Chine. Simultanément, d’autres services de Yahoo et Google étaient attaqués.

Pour GreatFire.org, les Occidentaux pourraient aider la cause en refusant de reconnaître les certificats SSL issus par le China Internet Network Information Center, qui est sous la coupe directe du CAC.