Une histoire de deux fuites : comment les hackers ont franchi le grand pare-feu de Chine

Le Grand Pare-feu de Chine (GFW) est l’un des, sinon sans doute le plus avancé système de censure d’Internet au monde. Parce que les gouvernements répressifs ne publient généralement pas simplement leurs règles de censure, la tâche de déterminer exactement ce qui est autorisé ou non incombe à la communauté de la mesure de la censure, qui mène des expériences sur des réseaux censurés. Dans cette présentation, nous aborderons deux façons dont la mesure de la censure a évolué, passant de l’expérimentation passive à des attaques actives contre le Grand Pare-feu. En sondant le système d’injection DNS du Grand Pare-feu en 2021, nous avons remarqué quelque chose d’étrange : parfois, les réponses injectées contenaient des déchets bizarres. Après quelques recherches, nous avons réalisé que nous étions tombés sur une vulnérabilité de divulgation de mémoire qui nous donnerait une fenêtre sans précédent sur l’intérieur du Grand Pare-feu : Wallbleed. Nous avons donc conçu des sondes capables de fuir jusqu’à 125 octets par réponse et les avons envoyées à plusieurs reprises pendant deux ans. Cinq milliards de réponses plus tard, le tableau qui en est apparu était... inquiétant. Plus de 2 millions de cookies HTTP ont fuité. Près de 27 000 paramètres d’URL avec mots de passe. Commandes SMTP exposant les adresses e-mail. Nous avons trouvé du trafic provenant d’adresses privées de la RFC 1918 – ce qui suggère que nous voyions le réseau interne du Grand Pare-feu. Nous avons vu x86_64 des frames de pile avec des pointeurs compatibles ASLR. Nous avons même envoyé nos propres flux tagués en Chine et avons ensuite récupéré ces octets exacts dans les réponses de Wallbleed, prouvant de manière définitive que le trafic réel des utilisateurs était exposé. En septembre 2023, les correctifs ont commencé. Nous avons observé en temps réel les blocs d’adresses IP qui cessaient de répondre à nos sondes. Mais naturellement, les mêmes développeurs qui ont commis cette erreur au départ ont commis d’autres erreurs. En quelques heures, nous avons développé des requêtes « Wallbleed v2 » qui déclenchaient encore la fuite. La vulnérabilité a persisté encore six mois, jusqu’en mars 2024. La recherche sur la mesure du GFW est revenue à la normale jusqu’en septembre de cette année, lorsqu’une source anonyme a publié 600 Go de code source fuité, de paquets et de documentation via Enlace Hacktivista. Ces données provenaient de Geedge Networks – une entreprise étroitement liée au GFW et au laboratoire MESA associé. Geedge Networks développe des logiciels de censure non seulement pour le GFW mais aussi pour d’autres pays répressifs tels que le Pakistan, le Myanmar, le Kazakhstan et l’Éthiopie. Nous discuterons de certaines de nos découvertes novatrices issues de la fuite Geedge Networks, y compris de nouvelles perspectives sur le lien de la fuite avec Wallbleed. Wallbleed et la fuite Geedge Networks montrent que la recherche sur la mesure de la censure peut aller au-delà de la simple exploration active des réseaux censurés. Nous espérons que cette conférence sera un appel aux hackers contre la censure d’Internet. Plus d’informations sur Wallbleed sont disponibles dans le rapport GFW : https://gfw.report/publications/ndss25/en/ Autorisé au public sous http://creativecommons.org/licenses/by/4.0

LicenseCreative Commons Attribution