
Yemeni War Emphasizes Importance of Internet Control in Statecraft and Conflict

This report serves as a follow up to Recorded Future’s previous work, “Underlying Dimensions of Yemen’s Civil War: Control of the Internet.” It is intended to provide an update on previous reporting, as well as explore the trend of government-mandated internet shutdowns and access control._ _Sources of this research include the Recorded Future® Platform, findings and methods from the Citizen Lab, Shodan, VirusTotal, Censys, GreyNoise, DomainTools, ReversingLabs, and third-party metadata. Recorded Future would like to thank the Citizen Lab, AccessNow, NetBlocks, Oracle/Dyn, and Freedom House for their continued reporting on internet outages, access restrictions, and censorship.
Executive Summary
Malgré les tentatives de pourparlers de paix début décembre 2018, le conflit au Yémen continue de faire des victimes. L'Organisation mondiale de la santé a déclaré l'état d'urgence dans le pays après une épidémie de choléra qui a plongé cette nation arabe dans une crise humanitaire caractérisée par une épidémie, une famine et une guerre civile. La trêve dans la ville portuaire d'Al-Hudaydah n'a pas encore été rompue et pourrait permettre d'acheminer l'aide humanitaire vers ce pays au bord de la famine. À l'heure actuelle, les réserves de céréales détenues par la Banque alimentaire mondiale dans ce pays sont inaccessibles et risquent de pourrir avant qu'un accord de retrait ne soit négocié.
En raison des frappes aériennes incessantes, des affrontements armés entre factions yéménites et de la dégradation générale des infrastructures et de la santé publique au Yémen, les rares infrastructures Internet du pays restent très limitées. Malgré des indications faisant état d'une faible utilisation, Recorded Future a observé une augmentation du déploiement de dispositifs de contrôle réseau sur YemenNet, le fournisseur d'accès Internet contrôlé par les forces houthies. Recorded Future n'a pas observé de changements significatifs dans l'espace du domaine de premier niveau (TLD) du Yémen, ni chez les principaux fournisseurs d'accès à Internet du pays.
Le contrôle de l'accès à Internet est devenu une tendance croissante, car les perturbations de l'Internet, les restrictions en matière de contrôle de l'information et d'autres méthodes de censure se multiplient à l'échelle mondiale. Au Yémen, les factions se disputent le contrôle des infrastructures Internet et utilisent plusieurs vecteurs de menace sophistiqués pour contrôler les informations entrant et sortant de leurs territoires. La coupure ou la restriction de l'accès à Internet est devenue une pratique courante dans le cadre d'une tendance plus large à la restriction ou au blocage d'Internet. L'Inde, le Venezuela, le Bangladesh et le Soudan ont utilisé diverses méthodes pour contrôler l'accès à Internet de leurs citoyens.
Threat Analysis
Au milieu des combats et de la catastrophe humanitaire, les acteurs internationaux tentent toujours de tirer parti de cette situation dramatique pour faire la une des journaux ou conserver leur influence au Yémen. Les États-Unis ont déclaré qu'une frappe de drone menée le 6 janvier 2019 contre un membre connu d'Al-Qaïda dans la péninsule arabique« rendait justice »en représailles à l'attentat à la bombe perpétré par Al-Qaïda contre l'USS Cole dans le golfe d'Aden en 2000. Les frappes de missiles soutenues par l'Arabie saoudite contre la capitale Sanaa, contrôlée par les Houthis, continuent de faire des victimes parmi la population civile, bien qu'il s'agisse officiellement de « frappes militaires ciblées ».
En février 2019, CNN a publié un rapport détaillant comment des systèmes d'armement fabriqués aux États-Unis et initialement vendus à l'Arabie saoudite et aux Émirats arabes unis auraient été acquis par des membres d'Al-Qaïda et des milices houthies, notamment des véhicules blindés résistants aux mines et aux embuscades (MRAP). Les Houthis, avec l'aide involontaire des véhicules et des armes américains, ont non seulement éclipsé une milice bien organisée et sont devenus une force plus puissante, mais ils sont également plus aptes à exercer la censure et la surveillance.
Recorded Future, via des recherches Shodan, a identifié le déploiement de deux appareils Netsweeper supplémentaires sur YemenNet à deux adresses IP : 82.114.160.93 et 82.114.160.94. L'appareil identifié sur 82.114.160.98 était toujours en service au moment de cette analyse. La réapparition de dispositifs de censure sur le réseau contrôlé par les Houthis pourrait être le signe d'une stabilité momentanée dans le conflit au Yémen, les opérateurs disposant désormais du temps et de la sécurité nécessaires pour rendre ces dispositifs opérationnels. Les forces houthies ont déjà piraté des groupes WhatsApp, et des contacts locaux indiquent que le groupe continue d'avoir accès à des conversations privées, probablement via le piratage de téléphones portables individuels ou en incitant des personnes à leur fournir des données.
Recorded Future n'a pas été en mesure de confirmer la censure continue du trafic au Yémen due à l'installation de Netsweeper, ce qui s'explique probablement par la faible intensité du trafic au Yémen ainsi que par le manque de capacités de surveillance et de visibilité au sein de YemenNet. L'indice d'exposition nationale de Rapid7 a révélé que, bien que les ASN yéménites aient attribué 135 168 adresses IP, seules 17 934 adresses ont été affectées, ce qui indique une faible utilisation.
Recorded Future n'a pas encore observé l'adoption généralisée d'AdenNet dans le pays, ce qui pourrait s'expliquer par le fait que le gouvernement Hadi, qui a mis en œuvre le PGI, réside encore en grande partie en Arabie saoudite, et non à Aden. L'utilisation générale d'Internet semble faible au Yémen, puisque les données de GreyNoise n'ont recensé que 538 hôtes au total dans le pays, ce qui est un nombre faible pour un pays de la taille du Yémen et compte tenu de son allocation d'adresses IP. À titre de comparaison, Shodan a détecté un total de 44 451 appareils dans le pays, mais aucune donnée n'indique qu'ils sont utilisés.
Les données de DomainTools indiquent qu'il existe actuellement 1 184 noms de domaine .ye. domaines (TLD du Yémen) — une légère augmentation de 32 achats de domaines. Recorded Future n'a observé aucun de ces enregistrements de domaine. Le TLD reste sous l'administration des Houthis et de YemenNet. Ce contrôle du TLD permet aux Houthis de se présenter comme les administrateurs légitimes du Yémen sur Internet.
Emerging Internet Disruption Activity Globally
La coupure des câbles sous-marins et les autres mesures visant à contrôler l'internet au Yémen ne sont pas des événements isolés, mais constituent une tendance préoccupante à l'échelle mondiale, principalement en Afrique. Selon plusieurs organisations de surveillance et à but non lucratif, les perturbations d'Internet, le contrôle de l'information et d'autres méthodes de censure se multiplient à l'échelle mondiale. Des rapports récents ont révélé que la censure du trafic HTTP, le blocage des VPN et la censure des emojis sont pratiqués dans divers pays. Il convient de noter que le Venezuela, l'Inde, le Bangladesh et le Soudan ont utilisé diverses méthodes pour manipuler l'accès à Internet de leurs citoyens.
Timeline of internet outages in 2019. (Source: Recorded Future)
Ces pays présentent un intérêt pour les multinationales pour plusieurs raisons. Le Venezuela est un acteur important sur le marché international du pétrole, et la situation politique dans ce pays continue de perturber l'accès international au territoire. Le Bangladesh présente un intérêt particulier pour les entreprises de vente au détail, car une grande partie de la chaîne d'approvisionnement en vêtements se trouve dans ce pays. Enfin, le Soudan, ainsi que d'autres pays africains où le taux de pénétration d'Internet est plus faible, ont été plus enclins à bloquer l'accès à Internet de diverses manières, offrant ainsi aux utilisateurs des exemples intéressants de violations potentielles des droits de l'homme.
Venezuela
Le Venezuela est plongé dans un climat de mécontentement politique alimenté par l'hyperinflation et les pénuries de nourriture et de médicaments, exacerbé par les luttes de pouvoir, l'instabilité électrique et les coupures d'Internet. Des factions rivales se disputent le pouvoir et le contrôle du Venezuela, et certains groupes tentent de contrôler l'accès à Internet et à l'information dans le pays. Cela a notamment consisté en des manipulations ciblées et à petite échelle du DNS au Venezuela, le blocage à l'échelle nationale des services de streaming et le black-out total de tout accès à Internet.
Des coupures d'électricité régionales et des perturbations de l'accès à Internet à l'échelle nationale ont été signalées au Venezuela depuis janvier 2019. NetBlocks a également signalé des coupures des réseaux sociaux et des sites d'information à l'intérieur du pays en lien avec la présidence contestée et les troubles économiques actuels. NetBlocks a également constaté une interruption de YouTube, Periscope et d'autres plateformes de streaming pendant un discours du président par intérim le 27 janvier 2019.
En février 2019, Kaspersky Lab a découvert des preuves de manipulation du DNS au Venezuela. Les attaquants ont modifié les enregistrements DNS d'un site web légitime dédié au bénévolat pour rediriger vers une adresse IP potentiellement malveillante située au Venezuela, qui hébergeait également un domaine malveillant. Cela a redirigé les utilisateurs situés au Venezuela vers l'infrastructure malveillante, tandis que le reste du monde a été redirigé vers l'infrastructure attendue. Selon les conclusions de Motherboard, cette activité serait utilisée pour cibler et hameçonner les citoyens vénézuéliens qui soutiennent le président par intérim, Juan Guaidó.
Bangladesh
Le 2 janvier 2019, le Bangladesh a ordonné une restriction à l'échelle nationale de tous les services de données mobiles dans le pays, avant les élections nationales. Le Bangladesh a décidé de restreindre l'accès aux données mobiles, car 93 % des connexions Internet du pays proviennent de téléphones mobiles, selon la Commission de régulation des télécommunications du Bangladesh. Recorded Future estime que ces mesures visent probablement à apaiser les tensions sociales au sein du pays afin d'empêcher la diffusion d'informations concernant les nombreuses accusations d'atteintes aux droits de l'homme dont il fait l'objet.
The shutdowns appear to have the dual purpose of limiting communication within the country, as well as preventing the spread of evidence of atrocities within the country to the outside world. This appears to be similar to activity that Recorded Future observed in Yemen — with control of the internet infrastructure and Yemen TLD space, Houthi forces attempted to characterize Yemen as a Houthi country to the world outside. Recorded Future suspects that the Bangladeshi government may be attempting to control the external narrative of the country’s internal affairs in a similar manner as exercised in Yemen.
Inde
En 2018, l'Inde a été le pays le plus touché par les perturbations et les coupures d'Internet, avec 134 incidents signalés. En Inde, les coupures d'Internet sont si fréquentes qu'un service a été mis en place pour suivre l'activité. Le manque de connectivité dans le pays n'est pas dû à des fournisseurs en difficulté ou à des infrastructures insuffisantes, mais à des ordres gouvernementaux irréguliers, et parfois inexpliqués, imposant aux fournisseurs de services fixes et sans fil de suspendre l'accès. Ces incidents sont décrits comme « une coupure imposée par le gouvernement de l'accès à l'internet dans son ensemble, dans une ou plusieurs localités, pour une durée indéterminée ». La régularité de cette activité est préoccupante, tout comme l'ampleur des restrictions ou des coupures d'accès à Internet.
La plupart des coupures ont visé les opérateurs mobiles et ont eu lieu dans le nord-ouest du pays, à la frontière avec le Pakistan, rival régional, notamment au Pendjab et au Cachemire. La plupart des fermetures ont été décidées à la suite de rapports faisant état d'activités militantes et afin de faire taire d'éventuelles rumeurs concernant de nouvelles activités. Souvent, la vitesse de connexion est réduite à celle du réseau 2G, voire complètement coupée, selon le rapport 2018 de Freedom House sur les libertés sur Internet en Inde. Le rapport a révélé que les responsables gouvernementaux invoquent souvent des « mesures de précaution » lorsqu'ils ordonnent aux fournisseurs d'accès à Internet et aux opérateurs de téléphonie mobile de réduire ou de couper l'accès. Recorded Future prévoit que les coupures d'Internet dans la zone frontalière vont s'intensifier et prendre de l'ampleur à court terme en raison des tensions accrues entre le Pakistan et l'Inde.
Le contrôle d'Internet en Inde se distingue des autres pays par son ampleur, sa fréquence et sa méthodologie. L'Inde est une démocratie qui restreint l'accès à Internet dans les régions minoritaires afin de lutter contre le terrorisme et les activités militantes. En règle générale, la censure d'Internet et le contrôle de l'accès sont associés à des régimes autoritaires ou à des pays en développement. L'Inde est pourtant une démocratie et occupe la sixième place mondiale en termes de produit intérieur brut (PIB), un indicateur utilisé pour déterminer la taille relative d'une économie. Des chercheurs de l'université d'État de Montclair ont estimé que les 59 coupures d'Internet dans la région frontalière en 2017 ont coûté à l'Inde près d'un demi-milliard de dollars en PIB.
Freedom House a également publié un rapport annuel sur les tendances mondiales, qui mentionne les pays qui achètent des infrastructures de télécommunications chinoises, parmi lesquels figure l'Inde. Le Yémen, notamment, a également acheté une grande quantité d'équipements auprès de l'entreprise chinoise de télécommunications Huawei. Parallèlement à cette infrastructure, des dispositifs de filtrage de contenu Netsweeper ont été déployés. À l'aide de Shodan, Recorded Future a identifié huit instances de Netsweeper dans le pays et a découvert que cinq de ces appareils étaient signés avec des certificats SSL Huawei. Recorded Future n'a pas été en mesure de confirmer la censure continue du trafic en Inde à partir des dispositifs Netsweeper.
Sudan
Les organisations à but non lucratif AccessNow et Netblocks, spécialisées dans la défense des droits numériques, ont signalé une interruption de l'accès à Twitter, Facebook, Instagram et WhatsApp dans tout le Soudan en décembre 2018. Le blocage de ces applications est survenu dans un contexte de manifestations suite à une inflation de 70 % et à une flambée des prix des céréales et du pétrole dans le pays. Le régime soudanais a réagi avec sévérité aux manifestations nationales, réprimant les civils à l'aide de la police anti-émeute, de gaz lacrymogènes et de balles réelles, faisant des dizaines de morts parmi les manifestants. L'accès à Internet a été restreint dans tout le pays, limitant ainsi l'accès aux applications susmentionnées afin d'empêcher la propagation de rumeurs.
Cette censure a démontré une action coordonnée entre plusieurs fournisseurs d'accès Internet visant à bloquer l'accès aux réseaux sociaux et aux applications de communication. Les opérateurs de télécommunications soudanais Zain-SDN, Sudatel et Kanartel ont été touchés par la coupure, tout comme l'opérateur international MTN, qui n'aurait pas bloqué WhatsApp. Cela semble indiquer que le régime s'appuie sur les fournisseurs d'accès à Internet pour faciliter un black-out médiatique efficace. Les membres d'Anonymous ont encouragé les résidents soudanais à utiliser TOR ou un VPN sur leurs appareils mobiles afin de contourner le blocage, mais rien n'indique que cette méthode ait permis de contourner efficacement le black-out imposé par les FAI.
Methods of Internet Control in Statecraft and Conflict
Ces récents actes de censure et ces coupures d'Internet reflètent différentes méthodes utilisées par les régimes de contrôle de l'accès à Internet et les groupes rebelles pour contrôler l'accès à l'information. Les méthodes les plus radicales entraînent généralement des coupures généralisées d'Internet, comme l'ont démontré les forces houthistes au Yémen en coupant les câbles Internet, ou encore le Bangladesh et le Zimbabwe cette année, qui ont soumis leurs citoyens à des coupures totales d'Internet.
La censure à l'échelle nationale est également possible au niveau du routage, mais n'est pas toujours facile à mettre en œuvre. La Russie a tenté sans succès de bloquer l'application de messagerie cryptée Telegram au niveau du protocole, et a finalement bloqué l'ensemble des sous-réseaux appartenant à Google et Amazon, ce qui a eu des répercussions négatives considérables sur l'internet dans le pays. En 2014, la Turquie a utilisé une technique de détournement DNS pour bloquer l'accès à Google DNS et OpenDNS afin de restreindre l'utilisation de Twitter et d'autres plateformes de réseaux sociaux dans le pays. L'Iran a imposé des blocages de contenu en utilisant le détournement BGP pour détourner le trafic médiatique, entre autres méthodes, notamment le blocage basé sur l'hôte HTTP, le filtrage par mots-clés et la limitation basée sur le protocole.
La censure au niveau du contenu peut être utilisée dans les pays qui exercent un contrôle important sur leur infrastructure IP et DNS, comme l'a déjà montré l'utilisation de dispositifs Netsweeper au Yémen. Le Citizen Lab a déjà mené des recherches sur ces dispositifs de censure, tandis que de nouveaux rapports ont révélé que certains pays du Moyen-Orient utilisaient des technologies capables d'inspecter en profondeur les paquets de données afin de surveiller les contenus.
Outlook
La censure à ces niveaux ne se limite pas aux pays susmentionnés, mais le contrôle d'Internet est devenu un outil de plus en plus utilisé par les pays dans le cadre de leur politique. La censure gouvernementale n'est pas une tendance nouvelle, mais les parties extérieures signalent de plus en plus souvent de tels incidents. Les États qui mettent en œuvre de telles mesures prennent un risque : ils peuvent certes maintenir le contrôle sur leur population, mais ces mesures risquent également de nuire à leur économie nationale et d'étouffer les opportunités commerciales. Les pays qui mettent en œuvre la censure numérique ont tendance à ralentir leur propre croissance technologique et l'innovation dans le domaine des affaires.
These internet shutdowns can create heightened risk for the entire region they are affecting. Additionally, beyond the social costs, censorship and shutdowns can severely hamper economic growth and trade. Many businesses that operate online or rely on cellular service can incur heavy losses and can limit production in certain states. Corporations operating in those countries can lose control of their operations which can lead to tampering, or effectively have workers feel stranded without contact from their main headquarters.