La République Populaire de Chine impose un logiciel de contrôle d'accès défaillant

Posté par  . Modéré par Florent Zara.
Étiquettes :
13
18
juin
2009
Rien à voir
Au premier juillet 2009 et conformément à une directive du 19 Mai 2009 émise par le Ministère de l'industrie, de l'information et des technologies (MIIT), tout ordinateur vendu en Chine devra être livré avec 绿坝·花季护航 (la muraille verte, l'escorteur de mineurs) un logiciel de contrôle d'accès dont l'objectif officiel est de protéger les mineurs de la pornographie toujours réprimée en Chine. Il pourra être pré-installé ou livré sur CD-ROM. Les fabricants devront rapporter aux autorités le nombre de machines distribuées avec le logiciel.

Le 11 juin 2009, trois chercheurs de l'université du Michigan (Scott Wolchok, Randy Yao et J. Alex Halderman) ont révélé deux failles importantes (dépassement de tampon) affectant 绿坝·花季护航. Une simple page Web fait ainsi planter un navigateur (ou un onglet). Des shellcodes plus raffinés sont déjà disponibles : exploit .NET pour Internet Explorer (contourne les contre-mesures DEP et ASLR de Windows).

绿坝·花季护航 (prononcez Lubà·Huajì Hùháng) utilise OpenCV (bibliothèque de traitement d'image libre, développée à la base par Intel, spécialisée dans le traitement d'image temps réel) en violation de sa licence BSD puisque sans mention du copyright. Il utilise en outre des données issues de CyberSitter un concurrent développé par la société Solid Oak.

Ce projet formalisé officiellement en décembre 2008 sous l'impulsion des dirigeants chinois est financé par le MIIT pour environ six millions d'euros (41,7 millions de yuan). Testé depuis octobre 2008 dans plusieurs grandes métropoles chinoises, il a été réalisé par la société Jinhui en collaboration avec une université pékinoise qui a déjà développé des produits similaires pour l'armée populaire de libération.

NdM : Selon l'article Wikipédia anglophone, 绿坝·花季护航 (Green Dam) est inefficace. Utiliser Mac OS X et Linux suffit pour contourner le filtrage par exemple. Green Dam n'est pas non plus capable de détecter un contenu pornographique pour des peaux de couleur rouge ou noire. De plus, plusieurs failles de sécurité peuvent mener à une attaque massive (botnet ou attaque ciblée) des ordinateurs équipés de Green Dam. Alors que d'après plusieurs sondages 80% des internautes interrogés disent ne pas souhaiter l'utiliser, il aurait déjà été installé à plusieurs dizaines de millions d'exemplaires (dont de nombreuses écoles). Il est distribué gratuitement (à l'incitation des autorités) et ne fonctionne que sous Windows.

Pour protéger l'utilisateur de contenus non désirés, 绿坝·花季护航 utilise des listes noires téléchargées depuis les serveurs officiels tout en scrutant les données échangées à travers différents protocoles et processus (HTTP, ICQ, MSN, MS Office...). Naturellement, à peine un tiers des mots clefs et URL proscrits a trait à la pornographie. Le reste se rapporte aux silences ou contrefaçons habituels de la RPC. Le Falun Gong (mouvement spirituel chinois) figure évidemment dans la liste des proscrits, 绿坝·花季护航 va jusqu'à interdire l'usage de leur Freegate un logiciel ad-hoc pour échapper aux TCP reset du Bouclier doré.

Dans les faits (et même si le comportement du logiciel a tendance à s'améliorer selon les versions), il censure des bandes annonces de Garfield (détectées à tort comme pornographiques), ferme brutalement l'onglet et/ou le logiciel autopsié, ne fonctionne pas avec Firefox, la désinstallation laisse des fichiers résiduels, etc.

Si la République Populaire de Chine innove avec ce logiciel de contrôle parentalo-gouvernemental, elle est coutumière de ce genre de pratique (voir par exemple l'affaire Skype-Tom, un Skype relooké par le gouvernement en lieu et place de l'original rendu inaccessible).

Si les représentants de la CCIA (Computer & Communication Industry Association) ont dénoncé les conséquences de cette directive (en invoquant une entrave au commerce), sur le terrain après quelques molles réticences, la totalité des assembleurs américains ont annoncé qu'ils allaient obtempérer sans trop barguigner. Les plus de 30 millions d'ordinateurs annuels du marché chinois y sont sans doute pour quelque chose. Hewlett Packard (15% du marché des ordinateurs) a ainsi annoncé : "nous travaillons avec les autorités gouvernementales et évaluons la meilleure approche de cela. (...) nous nous attacherons à donner la meilleure expérience au consommateur tout en nous assurant que nous remplissons les desiderata des autorités de régulation" (traduction libre d'un article du Wall Street Journal sur le sujet).

Face à cette omniprésence d'Anastasie, les courageux états d'âme de Microsoft font pâle figure devant un marché qui devrait atteindre 50 millions de machines avant deux ans. De son coté, le gouvernement chinois démontre une fois de plus sa capacité à faire passer à peu près n'importe qui sous ses fourches caudines.

En guise de morale à cette histoire et pour compliquer le tout, la petite société Solid Oak a décidé de poursuivre plusieurs revendeurs américains en justice pour "distribution de code volé" en vertu des lois californiennes.

Aller plus loin

  • # L'industrie française à la rescousse !

    Posté par  . Évalué à 7.

    Heureusement, grâce à HADOPI, et son mouchard top-moumoute, la RPC aura enfin une appli correcte ! Pour une fois que la France vendra des trucs à la Chine, ne gâchons pas notre joie :-)



    PS : il y a une coquille dans cette phrase.
    "Ce projet formalisé officiellement décembre 2008 sous l'impulsion des dirigeants chinois est financé par le MIIT pour environ six millions d'euros (41,7 millions de yuan).".
    Car sinon il manque un verbe, et ça signifie alors que la phrase n'est pas finie.
  • # Pas de bol

    Posté par  (site web personnel) . Évalué à 8.

    Non seulement les chinois travaillent comme des chiens, mais en plus ils ne peuvent même pas se reposer devant un petit porno. J'aimerai vraiment pas être chinois.
    • [^] # Re: Pas de bol

      Posté par  (site web personnel) . Évalué à 2.

      En même temps, il existe des films pornographiques chinois. J'en ai au moins vu un :
      http://fr.wikipedia.org/wiki/La_Saveur_de_la_pastèque

      (en fait, je ne l'ai regardé que partiellement, il est trop bizzare ce film :-p)

      ... bon, c'est un film franco-taïwanais, alors que là on parle de la République Populaire de Chine, c'est pas pareil.
      • [^] # Re: Pas de bol

        Posté par  . Évalué à 1.

        Et c'est pas sûr qu'on puisse le qualifier de pornographique vu la diffusion qu'il a eu dans les cinémas grand-public (mais je ne l'ai pas vu non plus : )
        • [^] # Re: Pas de bol

          Posté par  . Évalué à 1.

          Même si on voit ce que tu veux dire, je suis pas sûr que ce soit la programmation d'un film qui dicte sa classification (plutôt l'inverse je dirais). Si demain, pour une raison X ou Y, un film de Marc Dorcel devait être diffusé largement, ça n'en resterait pas moins un film pornographique.
      • [^] # Re: Pas de bol

        Posté par  . Évalué à -4.

        La Saveur de la pastèque est un film franco-taïwanais (source ton lien Wikipédia).
  • # Logiciel gravement insecure...

    Posté par  (site web personnel) . Évalué à 9.

    ... comme si on avait pas assez de spam venant de chine déjà...
  • # Les pauvres

    Posté par  . Évalué à 6.

    La lecture du troisième lien est amusante, difficile de croire que quiconque laisserait ça installé sur sa machine.
    Current versions only support Windows; effective only when used in conjunction with Internet Explorer or Google Chrome, it has no effect when used with Firefox. The harmful information screened by the software includes politically-related harmful information, and the software relies on non-conventional methods to install, also ineffective within Firefox, closing the browser and adding the website address onto a banned list without confirmation

    Traduction vite fait: Les versions actuelles fonctionnent seulement sur Windows, seulement avec les navigateurs Internet Explorer ou Google Chrome, et ne fonctionne pas sur Firefox. Les données surveillées par le logiciel incluent du contenu politique, et le logiciel s'appuie sur des méthodes inhabituelles pour s'installer, encore une fois sans effet sur Firefox, comme fermer le navigateur et ajouter l'adresse du site à une liste noire sans confirmation

    Mais le plus rigolo c'est celui la:
    Testing has shown that if any word resembling 'Falun Gong' is entered into either Notepad or WordPad, the application will shut down; however, typing the same characters into Paint or MSN Messenger bears no response, illustrating the incompleteness of the program
    ce qui donne en gros:
    Des tests ont montré que si n'importe quel mot ressemblant à 'Falun Gong' est entré dans Notepad ou Wordpad, l'application se fermera; néanmoins, taper les mêmes caractères dans Paint ou MSN ne provoque rien, illustrant les lacunes du programme

    Je trouve ça d'un ridicule achevé, quoiqu'on puisse leur faire confiance pour affiner le fonctionnement et le rendre plus discret mais envahissant.
  • # ...

    Posté par  . Évalué à 3.

    «(...) Utiliser Mac OS X et Linux suffit pour contourner le filtrage par exemple. (...)»

    Effectivement puisque comme le dit l'article, le logiciel ne fonctionne que sous Windows, donc quand on n l'utilise pas, et ben... on le contourne!
  • # La news date un peu

    Posté par  (site web personnel) . Évalué à 4.

    Entre temps, le gouvernement chinois a dit que le logiciel n'est pas obligatoire, d'une part

    http://www.guardian.co.uk/world/2009/jun/16/china-backs-down(...)

    D'autre part, une boite américaine porte plainte pour cause de copie de logiciel.

    http://www.latimes.com/business/la-fi-china-internet13-2009j(...)

    et sinon, les chinois vont recruter du monde pour leur bureau de censure, genre 10000 personnes d'aprés le financial times :

    http://www.ft.com/cms/s/0/c9bae870-5b5f-11de-be3f-00144feabd(...)

    ( source des 3 liens, le site de l'open net initiative : http://opennet.net/news/ )
    • [^] # Re: La news date un peu

      Posté par  (site web personnel) . Évalué à 4.

      Bon, ok le 2eme lien est inutile, j'ai lu la news en diagonale, c'est la faute à l'utf8, mon parseur visuel a fait un buffer overflow.
    • [^] # Re: La news date un peu

      Posté par  (site web personnel) . Évalué à 1.

      Je ne suis pas du tout convaincu que ce genre de logiciel soit une bonne chose, que du contraire.

      Mais quand par contre on évoque ce genre de choses, ...

      ... les chinois vont recruter du monde pour leur bureau de censure, genre 10000 personnes d'aprés le financial time ...

      ..., je pense plus au nouveaux rapports de forces économiques qui s'installent entre les états-unis (plus Europe et Afrique du nord) d'une part et la chine (plus la Russie) d'autre part.

      Sans vouloir tomber dans la paranoïa (par pitié, ne fait pas cette erreur grossière), je pense que ce qui est pointé du doigt en chine, est à mettre en perspective avec ce qui se passe plus ''discrètement'' de ''notre'' côté...

      L'US Air Force prend le contrôle d'internet
      [http://www.lepost.fr/article/2008/05/16/1193817_l-us-air-for(...)]

      Le Pentagone veut pouvoir détruire tous les sites Internet qui le gênent
      [http://www.voltairenet.org/article157054.html]

      Air Force Aims for 'Full Control' of 'Any and All' Computers
      [http://www.wired.com/dangerroom/2008/05/air-force-mater/]

      La 67eme brigade de guerre des réseaux dispose déjà de plus de 8 000 hommes sous le commandement du colonel Joseph Pridotkas. L’un de ses escadrons sera équipé, d’ici octobre, de puissants robots capables de faire tomber des milliers de sites à la fois. Il s’agit d’appliquer le concept du « tapis de bombes » au cyberspace, indique le colonel Charles W. Williamson dans le dernier numéro de l'Armed Forces Journal : [http://www.afji.com/2008/05/3375884/]

      Etc.
  • # vendredi

    Posté par  . Évalué à -2.

    Ils auraient du coder un plugin OpenOffice pour être sur qu'il soit sécurisé !
    Non ?

    Euh, elle est ou la sortie ?
    • [^] # Re: vendredi

      Posté par  . Évalué à 5.

      Euh, elle est ou la sortie ?

      Sous OpenOffice, c'est Ctrl-Q.
    • [^] # Re: vendredi

      Posté par  (site web personnel) . Évalué à 1.

      Pas besoin, y'a déjà un firewall intégré pour te protéger des méchants.

      Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

  • # Pour mieux comprendre la Chine

    Posté par  . Évalué à 10.

    Cette explication n'est qu'une hypothèse, mais il faut dire que presque tout fonctionne comme suit ici, surtout quand ça vient de l'administration:

    1 - Des techniciens proposent à des hauts placés du parti de censurer à la source: dans l'ordinateur, plutôt que via un firewall que qui le veut peut contourner
    2 - Décision politique est prise de mettre en œuvre le procédé.
    3 - Un politique est désigné pour gérer l'affaire.
    4 - Il lance un "appel d'offres", qui consiste premièrement à consulter ses potes dans l'industrie qui feront ça avec dessous de table, ou sinon à sélectionner la boîte qui propose le plus haut dessous de table. Cette partie peut être extrêmement complexe: on peut choisir une boîte qui verse moins de dessous de table, mais dont le patron est le fils d'un gars placé encore plus haut dans la hiérarchie, pour bien se faire, voir, et toutes les variantes de ce genre sont possibles.
    5 - La boîte verse la "commission", empoche la thune de l'état, dont il doit rester, après commissions au gérant du projet, ses potes et le fils du directeur qui achètera un appartement très loin avec de l'argent qu'il a trouvé par terre, environ 30% de la somme initiale, et fait un travail de merde, de toute façon qui s'en préoccupe? D'ailleurs, comme vous avez pu le remarquer, il manque une étape "vérifier le savoir-faire de la boîte" avant de signer...
    6 - On force pas trop l'installation de la chose, et surtout, surtout, bien s'assurer que les effets négatifs devront être gérés par quelqu'un d'autre (de préférence quelqu'un qu'on aime pas, ou de toute façon plus bas dans la hiérarchie, et surtout pas le cousin d'un ministre).
    7 - Tout le monde s'autocongratule ,c'est l'occasion de s'accorder des augmentations significatives et recevoir au moins une distinction honorifique du parti
    8 - Le reste du monde émet des réserves, c'est bien la preuve qu'ils souhaitent pervertir la jeunesse chinoise et on va quand même pas se laisser faire! Toute façon ici c'est chez nous et c'est pas vos oignons.

    C'est là où on est maintenant.

    Les hypothèses pour la suite?

    - Campagne de propagande via l'association "jeunesse du parti communiste" (ou un truc comme ça, enfin, le fer de lance de l'ultra-nationalisme contrôlé par l'Etat): Si tu l'utilises pas t'es un traître à la Nation (et ici, c'est sérieux)
    - Etape installation obligatoire faute d'être bloqué par les FAI: Si tu l'utilises pas c'est que tu fais quelque chose d'illégal!
    - Chute dans l'oubli parmi les nombreux trucs extraordinaires produits par l'Etat
    - Statut quo pendant 10 ans, ce qui permettra aux futurs dirigeants de bricoler par dessus les 50ans de bricolage précédents et trouver des mesures qui permettent d'installer le logiciel obligatoire sans s'en servir parce qu'il ne marche pas mais en ajoutant une icône "bien sûr que si ça marche!!" pour sauver la face.

    Et la face, pour un politique chinois, c'est autrement plus important que le souci d'efficacité...
    • [^] # Re: Pour mieux comprendre la Chine

      Posté par  (site web personnel) . Évalué à 4.

      C'est marrant, ça me rappel un peu la France tout ça...DADVSI, HADOPI, LEN, LOPSI2 etc...

      Sans parler des passe-droits, des ententes entre gouvernements et industriels, de la propagande gouvernementale, du défaut d'information, des mensonges gouvernementaux, des détournements de fonds publiques, des commissions occultes, des pressions sur la justice, des mutations placardisantes...

      Non franchement, pour un français, la Chine n'est pas trop dépaysante de ce point de vue.
    • [^] # Re: Pour mieux comprendre la Chine

      Posté par  (site web personnel) . Évalué à 3.

      C'est pareil en France, il suffit de prendre le texte et :
      s/chine/france/i
      s/chinois/français/i
      s/parti communiste/[parti politique français eu pouvoir (par rotation)]/

      Et tu as exactement la même situation dans les administrations Françaises un peu noyauté par le népotisme et le clientélisme.

      Quand on lis que l'appel d'offre d'HADOPI a été lancé avant même que la loi soit présenté au parlement ! je me demande bien quel copain a eu le contrat.
  • # Hordes de zombies

    Posté par  . Évalué à 1.

    Tiens tiens, je me demande si ce n'est pas une fête pour les cyber-'patriotes' chinois qui vont pouvoir profiter des nouvelles features du système de protection afin de disposer de milliards d'ordi zombies à la demande et attaquer massivement leurs cibles préférées (il paraît qu'ils n'aiment pas le Dalai-Lama, par exemple).
    Vu le nombre des zombifiés potentiels, ça craint.
    • [^] # Re: Hordes de zombies

      Posté par  (site web personnel) . Évalué à 1.

      je me demande si ce n'est pas une fête pour les cyber-'patriotes' chinois

      Pourquoi est-ce que seuls des chinois exploiteraient les failles ? Pourquoi pas, par exemple, un ennemi de la Chine ? Les opposants au régime par exemple. Un troyan qui installerait Freenet partout (en mode opennet), ça serait un sacré pied de nez au gouvernement ;-)
      • [^] # Re: Hordes de zombies

        Posté par  (site web personnel) . Évalué à 2.

        C'est pas utile Freenet...on peut parfaitement se connecter en ssh depuis la Chine sur un serveur en France (par exemple).

        Il est tout à fait possible d'utiliser un serveur Jabber aussi, d'utiliser le Skype US, de se connecter sur IRC genre Freenode, et il ne faut pas croire que toutes les communications sont filtrées et étudiées.
        On a du mal à imaginer comment faire fonctionner un filtre comme celui que décrit la loi Internet et Création, je ne comprend pas qu'on puisse imaginer que la RPC dispose d'un outil capable de traiter le nombre astronomique de données qui passe sur Internet sur son territoire. C'est de la fabulation.

        Les opposant au gouvernement, qui cherchent à communiquer entre eux, se font piéger si ils sont connus donc particulièrement surveillés.
        Mais un Internaute inconnu des services de surveillance, un geek ou un informaticien, a accès au réseau mondial si il se connecte depuis un site qui ne bloque pas les ports (jabber, IRC, ssh etc...).

        Je le dis et je le répète, je me suis tous les jours connecté sur IRC, en ssh sur mon serveur, et j'ai navigué sur les sites internationaux, sans problèmes, depuis Beijing.
        • [^] # Re: Hordes de zombies

          Posté par  . Évalué à 2.

          c'est étonnant, car cela semble parfaitement contredire l'existence de la Grande-Muraille parefeu de Chine, qui interdit tout plein de sites terroristes super-dangereux (comme ceux expliquant ce que c'est que les Droits de l'Homme). Avez-vous vraiment essayé d'accéder aux cibles préférées des censeurs chinois, depuis votre pc ?
          • [^] # Re: Hordes de zombies

            Posté par  . Évalué à 1.

            au temps pour moi... j'avais mal lu !
            Effectivement, en se connectant sur un serveur distant on contourne le problème, oui.
  • # Mouaip

    Posté par  . Évalué à 2.

    Des tests ont montré que si n'importe quel mot ressemblant à 'Falun Gong' est entré dans Notepad ou Wordpad, l'application se fermera; néanmoins, taper les mêmes caractères dans Paint ou MSN ne provoque rien, illustrant les lacunes du programme

    et

    Dans les faits (et même si le comportement du logiciel a tendance à s'améliorer selon les versions), il censure des bandes annonces de Garfield (détectées à tort comme pornographiques), ferme brutalement l'onglet et/ou le logiciel autopsié, ne fonctionne pas avec Firefox, la désinstallation laisse des fichiers résiduels, etc.


    En effet, c'est bien du made in china !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.