Skip to content
Cyber Breaches
Recherche
EspionnageRésolu

Injection réseau Bad Traffic / AdHose sur le réseau télécom égyptien

Citizen Lab a découvert des équipements d'inspection profonde de paquets Sandvine PacketLogic sur le réseau de Telecom Egypt, redirigeant secrètement les utilisateurs en masse vers des publicités d'affiliation et des scripts de minage de cryptomonnaie, tout en bloquant des dizaines de sites d'information et de défense des droits humains.

Partie de la campagnesandvine packetlogic network injection
Victime
Abonnés internet de Telecom Egypt (des millions d'utilisateurs égyptiens)
SecteurTélécoms
PaysÉgypte
GroupeOpérateur des boîtiers PacketLogic de Telecom Egypt (FAI lié à l'État)
Attaquants nommésPartie non attribuée exploitant des équipements Sandvine PacketLogic sur Telecom Egypt

Le 9 mars 2018, le Citizen Lab de l'Université de Toronto a publié Bad Traffic, révélant que des boîtiers d'inspection profonde de paquets (DPI) Sandvine PacketLogic déployés sur le réseau de Telecom Egypt — le FAI dominant du pays, lié à l'État — étaient utilisés pour détourner secrètement le trafic web des utilisateurs ordinaires. Ces mêmes équipements redirigeaient les Égyptiens vers de la publicité d'affiliation et des mineurs de cryptomonnaie embarqués dans le navigateur, et censuraient des dizaines de sites d'information et de défense des droits humains.

Ce qui s'est passé

Citizen Lab a développé une empreinte technique de l'injection réseau — incluant une valeur d'IP-ID inhabituelle de 13330 et un comportement de paquets distinctif — et l'a fait correspondre à un équipement Sandvine PacketLogic d'occasion acheté et testé dans son laboratoire. Les chercheurs ont ensuite localisé des appareils produisant cette signature sur le réseau de Telecom Egypt, à un point de démarcation près de Marseille, en France.

Le dispositif égyptien, baptisé AdHose par les chercheurs, fonctionnait selon deux modes. En mode « spray », les boîtiers redirigeaient un grand nombre d'utilisateurs vers des publicités par brèves rafales — un balayage de janvier 2018 l'a surpris actif pendant 32 minutes, touchant environ 38 % des IP balayées sur 27 systèmes autonomes égyptiens. En mode « goutte-à-goutte », il injectait en continu des publicités dans des URL précises et des sites défunts, un comportement traçable jusqu'à au moins octobre 2016. Le contenu injecté poussait les utilisateurs vers des réseaux publicitaires d'affiliation et des scripts Coinhive qui forçaient les navigateurs des victimes à miner la cryptomonnaie Monero. Le même équipement PacketLogic effectuait aussi de la censure via des paquets TCP-reset, bloquant une vingtaine de sites dont Human Rights Watch, Al Jazeera, Reporters sans frontières et Mada Masr.

Impact

  • L'injection DPI touchait des utilisateurs sur plus de 17 systèmes autonomes égyptiens de Telecom Egypt, affectant vraisemblablement des millions d'abonnés.
  • Les utilisateurs concernés étaient transformés à leur insu en générateurs de revenus (fraude publicitaire) et en mineurs de cryptomonnaie, les ressources de calcul de leurs navigateurs étant détournées.
  • Une censure indépendante des grandes organisations internationales d'information et de défense des droits a restreint l'accès des Égyptiens à l'information.

Attribution

Citizen Lab a attribué les moyens techniques à des équipements Sandvine PacketLogic présents dans l'infrastructure de Telecom Egypt, sans toutefois nommer la partie exploitante précise. Telecom Egypt étant un opérateur majoritairement détenu par l'État et le déploiement parallèle en Turquie ayant servi à diffuser des logiciels espions gouvernementaux, le rapport a inscrit l'activité égyptienne dans un schéma d'abus para-étatique de matériel DPI commercial. Sandvine a publiquement contesté les conclusions et fait pression sur Citizen Lab au sujet d'une unité de démonstration restituée.

Pourquoi c'est important

Bad Traffic a révélé comment du matériel commercial de gestion de réseau — vendu pour une régulation légitime du trafic — peut être détourné à l'échelle de la dorsale d'un FAI pour injecter des maliciels, faire du cryptojacking et censurer, le tout de manière invisible pour les utilisateurs finaux. Le cas égyptien AdHose a montré un opérateur lié à l'État monétisant ses propres abonnés tout en réprimant les médias critiques, et il a intensifié l'examen de l'industrie DPI à double usage, contribuant à ce que Sandvine fasse plus tard face à des conséquences réputationnelles et politiques pour ses ventes à des gouvernements autoritaires.

Chronologie

  1. Des indices suggèrent que le dispositif d'injection AdHose sur Telecom Egypt fonctionne en mode « goutte-à-goutte » depuis au moins octobre 2016.

  2. Les campagnes de mesure réseau de Citizen Lab commencent à détecter des empreintes d'injection PacketLogic sur le réseau de Telecom Egypt.

  3. Un balayage de janvier 2018 capture le mode « spray » actif pendant 32 minutes, redirigeant environ 38 % des IP égyptiennes balayées vers des publicités et le minage Coinhive.

  4. Citizen Lab publie « Bad Traffic », attribuant l'injection et la censure à des équipements Sandvine PacketLogic sur Telecom Egypt et Türk Telekom.

  5. Sandvine conteste les conclusions ; la couverture médiatique amplifie le rapport et l'entreprise menace de poursuites au sujet d'un équipement de démonstration restitué.

Sources

  1. citizenlab.cahttps://citizenlab.ca/research/bad-traffic-sandvines-packetlogic-devices-deploy-government-spyware-turkey-syria/
  2. utoronto.cahttps://www.utoronto.ca/news/bad-traffic-new-citizen-lab-report-finds-sandvine-s-packetlogic-devices-used-deploy-government
  3. theregister.comhttps://www.theregister.com/2018/03/09/citizen_lab_claims_sandvine_hardware_used_to_enable_government_spyware/
  4. securityweek.comhttps://www.securityweek.com/internet-provider-redirects-users-turkey-spyware-report/
  5. securityaffairs.comhttps://securityaffairs.com/70083/malware/sandvine-government-spyware.html

Incidents liés

EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
EspionnageRésolu

Violation de données clients Marriott / Starwood

Des opérateurs attribués à l'État chinois sont restés présents sans être détectés sur la base de données de réservation des clients de Starwood depuis 2014, survivant à l'acquisition de 2016 par Marriott. Révélation en 2018 : 500 millions d'enregistrements clients exposés, dont 5,25 millions de numéros de passeport non chiffrés.

Victim
Marriott International / Starwood Hotels & Resorts
Loss
$200.0M
Records
500.0M
EspionnageContenu

Violation de données SingHealth

Des acteurs attribués à l'État chinois ont exfiltré les données personnelles et les dossiers de médication ambulatoire de 1,5 million de patients de SingHealth — dont le Premier ministre Lee Hsien Loong — dans le plus grave incident cyber de Singapour.

Victim
Singapore Health Services (SingHealth)
Loss
$7.5M
Records
1.5M
EspionnageRésolu

Campagne mondiale d'espionnage mobile Dark Caracal

Une campagne de cyberespionnage pluriannuelle liée à la Direction générale de la Sûreté générale libanaise (GDGS) a dérobé des centaines de gigaoctets de données à des milliers de victimes dans plus de 21 pays, au moyen d'applications Android piégées et de logiciels malveillants pour ordinateurs.

Victim
Militants, journalistes, avocats, cibles militaires et gouvernementales (21+ pays)