Au Kazakhstan, Apple, Google et Mozilla bloquent un certificat espion du gouvernement
Le mois dernier, les fournisseurs d'accès du Kazakhstan ont forcé les internautes du pays à installer un certificat root sur leurs appareils, sous peine de ne plus pouvoir accéder à internet. Ce certificat « casse » le chiffrement HTTPS, permettant ainsi au gouvernement autoritaire kazakh de surveiller les allées et venues des citoyens en ligne.
Les autorités du pays ont expliqué sans rire que cette manœuvre se destinait à « renforcer la protection des citoyens, des organismes officiels et des entreprises privées contre les attaques de pirates informatiques, des fraudeurs et tous types de cybermenaces ». Mais bien sûr, c'est de surveillance généralisée dont il est question.
Sans explication, le gouvernement a arrêté son opération de surveillance début août, après avoir intercepté le trafic HTTPS pendant trois semaines. Il a toutefois précisé que c'était un « test » et que les FAI ne forcent plus les internautes à installer le fameux certificat. Néanmoins, ce dernier reste toujours présent chez des millions d'internautes et d'entreprises.
Depuis aujourd'hui, Google, Mozilla et Apple affichent dans leurs navigateurs web respectifs — Chrome, Firefox et Safari — une alerte lorsqu'un site web visité est intercepté par ce certificat. Une manière de prévenir l'internaute qu'un agent dormant est toujours présent au cœur de sa machine. Une information pas inutile, si jamais le Kazakhstan reprenait en douce son programme de surveillance.
Les trois éditeurs y sont allés de leurs déclarations. Apple a expliqué s'être assuré que les utilisateurs de Safari étaient protégés du certificat. Google a indiqué qu'il ne tolèrerait aucune tentative pour compromettre l'intégrité des données des utilisateurs de Chrome. « Les personnes dans le monde font confiance à Firefox pour les protéger lorsqu'ils naviguent sur internet », explique Mozilla, « en particulier lorsqu'il s'agit de les protéger contre des attaques qui compromettent leur sécurité ».
Des monts célestes aux sables rouges, seules changent les étiquettes et les panoplies des sbires.
Alors qu’il n’y avait que des yourtes, en 1932, Ella Maillart y documentait déjà les exactions sommaires de l’OGPU. Subvertir HTTPS peut paraître relativement inoffensif, sauf si l’on ignore les conséquences qui en découlent pour les personnes visées.
Et qui veut parier que, s’agissant de la Russie ou surtout de la Chine, au lieu d’un XYstan d’Asie centrale, Google et Apple ne tourneraient pas leur casaque ?
(J’exempte Mozilla, qui aurait beaucoup à perdre et rien à gagner d’une telle volte-face.)
oui.
@oomu
Non.
@Soner
Bon.
L'affaire est très sérieuse. Mais aujourd'hui le Kazakhstan n'a pas les moyens de ses ambitions.
Pour usurper le flux SSL il faut que celui-ci passe par un proxy du gouvernement. Ce qui est loin d'être le cas général. Il faut ensuite que le gouvernement émette un certificat signé par ce fameux certificat root couvrant les services du domaine visé et de tous ses alias. Il faut ensuite qu'à l’ouverture de la connexion le proxy remplace le certificat d'origine par celui du gouvernement.
Surveiller face de book google et quelques gros sites voila ce dont est capable de faire le gouvernement. Mais la multitude de serveurs d'adresses et telle qu’il faudrait des décennies pour produire tous les certificats nécessaires à une surveillance généralisée. Il faudrait au gouvernement des fermes de proxy en proportion de la surveillance visée.
Bref c'est un très grave précédent dans l’internet. Mais dans les faits la capacité de surveillance est ciblée.
Enfin rentrant du Kazakhstan peu de FAI ont pour le moment suivi cette obligation.
il n'y a rien sur mon tél.
;)
A+
@sekaijin
"il n'y a rien sur mon tel."
Pas même un bescherelle !
@sekaijin
De tels proxy peuvent très bien être installés chez les fournisseurs d’accès, un peu comme les boîtes noires françaises (même si celle ci ne sont, il me semble, censées ne surveiller que les meta données), et les certificats pourraient très bien être générés à la volé, à chaque nouvelle connexion sur un domaine inconnu...
Je rajoute que certaines entreprises le font déjà (déchiffrer tout le traffic https) en passant par un proxy, c’est un cas dit de « man in the middle », ave le certificat pré installé sur les pc de l’entreprise. C’est légal, du moment (il me semble) que les salariés en sont informés, et que ce système est débranché sur les temps de pause, pour ne pas impacter les séances de surf personelles des employés.
Dur d'écrire dans le métro avec tel.
Quelques majuscules manquantes une coquille de frappe, un mot remplacé par un autre par le téléphone, et 2 erreurs d'accord.
Franchement @ MarcMame c'était juste pour râler ton post...
A+JYT
En tout cas, merci pour tes explications et ton témoignage. :-)
Au bout de trois semaines, ils se sont sans doute rendus compte qu’intercepter tout le trafic ne rimait à rien, vu les masses des données à analyser.
Comment se dorer son blason à moindre coût: s'en prendre aux petits pour jouer les bienfaiteurs. Ça aurait plus de gueule si c'était fait en Chine. Comme par exemple une vraie page Google :)
@Leborde
+1000