Depuis mercredi 17 juillet 2019, le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS à l'intérieur de ses frontières.Le gouvernement local a demandé aux fournisseurs de services Internet locaux de forcer leurs utilisateurs respectifs à installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs.
Une fois installé, le certificat permettra aux administrations locales de déchiffrer le trafic HTTPS des utilisateurs, d’en visualiser le contenu, de le chiffrer à nouveau avec leur certificat et de l’envoyer à sa destination.
Les utilisateurs kazakhs essayant d'accéder à Internet depuis mercredi ont été redirigés vers des pages Web contenant des instructions sur la procédure d'installation du certificat racine du gouvernement sur leurs navigateurs respectifs, qu'il s'agisse d'un ordinateur de bureau ou d'un appareil mobile.
Le gouvernement du Kazakhstan affirme que c’est dans l’intérêt des citoyens
Les fournisseurs de services Internet locaux ont commencé à forcer leurs clients à installer le certificat racine du gouvernement à la suite d'une annonce officielle du gouvernement.
Dans un communiqué publié sur son site Web, le ministère du Développement numérique, de l'Innovation et de l'Aérospatiale du Kazakhstan a déclaré que seuls les utilisateurs d'Internet situés dans la capitale du Kazakhstan, Nur-Sultan, devront installer le certificat.
« Des organismes autorisés nous ont demandé d'informer les abonnés de Nur-Sultan de la nécessité d'établir un certificat de sécurité », a déclaré Olzhas Bibanov, responsable du service des relations publiques de Tele2 Kazakhstan. Selon lui, la demande ne concerne que les résidents de la capitale.
Le site des opérateurs Kcell et Activ a également reçu une notification d'installation d'un certificat de sécurité. « À cause des cas fréquents de vol de données personnelles et de données d’identité, ainsi que d’argent des comptes bancaires du Kazakhstan, un certificat de sécurité a été introduit. Il sera un outil efficace pour protéger l’espace d’information du pays contre les pirates, les fraudeurs sur Internet et d’autres types de cyber-menaces afin de protéger les données et les systèmes d'information. Il aidera à identifier les cybercriminels ainsi que les cyber-fraudeurs qui s’attaquent aux systèmes d'espace d'information du pays, y compris les systèmes bancaires (...) En l'absence d'un certificat de sécurité sur les appareils d'abonné, des restrictions techniques peuvent survenir avec l'accès à certaines ressources Internet », indique le communiqué sur les sites Internet des opérateurs.
Une mesure qui n’est pas cantonnée à la capitale
Si la mesure concernait officiellement la capitale dans un premier temps, des utilisateurs d’un peu partout sur le territoire ont déclaré qu’ils étaient dans l’incapacité d’accéder à internet avant d’installer le certificat du gouvernement. Selon le média local, certains utilisateurs ont également reçu des messages SMS sur leur smartphone pour leur demander d'installer les certificats.
Les opérateurs ont souligné que l'installation d'un certificat de sécurité doit être effectuée à partir de chaque appareil à partir duquel il y a un accès à Internet (téléphones mobiles et tablettes tournant sur iOS / Android, ordinateurs personnels et ordinateurs portables tournant sur Windows / MacOS). En l'absence d'un certificat de sécurité sur les périphériques d'abonné, l'accès à des ressources Internet individuelles peut être limité.
Les abonnés de Beeline (deuxième opérateur téléphonique en Russie) sont également invités à installer un certificat de sécurité. « Il est impératif de légiférer lorsque tous les appareils qui accèdent à Internet doivent recevoir un certificat de sécurité. Ce certificat a été développé par les autorités compétentes et doit être installé sur tous les appareils qui accèdent à Internet », a déclaré Alexey Benz, Corporate Communications Director à beeline.kz.
La réaction des éditeurs de navigateurs
Actuellement, les éditeurs de navigateurs tels que Google, Microsoft et Mozilla discutent d'un plan d'action sur la façon de gérer les sites qui ont été (re) chiffrés par le certificat racine du gouvernement kazakh. Aucune décision n'a été prise à l'heure actuelle.
Dans une discussion chez Mozilla, l’individu répondant au prénom Eugène suggère que cette autorité de certification figurer sur la liste noire de Mozilla et que Firefox ne devrait pas l'accepter du tout, même si l'utilisateur l'a installée manuellement. Il estime que cela préservera la vie privée de tous les utilisateurs d'Internet au Kazakhstan.
Plus loin, il en appelle à la collaboration entre Mozilla et Google :
« Je pense que Mozilla et Google devraient intervenir dans cette situation, car elle peut créer un précédent dangereux, annulant tous les efforts de renforcement de HTTPS.
« Si le Kazakhstan réussit, de plus en plus de gouvernements (par exemple, la Fédération de Russie, l'Iran, etc.) lanceront des attaques mondiales de MITM contre leurs citoyens, ce qui n'est pas bon.
« Je pense que toutes les autorités de certification utilisées pour les attaques MITM devraient être explicitement inscrites sur la liste noire de Mozilla et de Google, afin d’exclure toute possibilité de telles attaques ».
Le gouvernement n’en est pas à sa première tentative
Le gouvernement kazakh a d'abord tenté de faire installer un certificat racine par tous ses citoyens en décembre 2015. À l'époque, il avait décidé que tous les utilisateurs kazakhs devaient installer leur certificat racine le 1er janvier 2016 au plus tard.
La décision n'a jamais été mise en œuvre car plusieurs organisations, dont des FAI, des banques et des gouvernements étrangers, ont poursuivi le gouvernement en justice, craignant d'affaiblir la sécurité de tout le trafic Internet (et des entreprises adjacentes) en provenance du pays.
Parallèlement, en décembre 2015, le gouvernement kazakh a également demandé à Mozilla que son certificat racine soit inclus par défaut dans Firefox, mais Mozilla a décliné l'offre.
Sources : média local, Bugzilla, Google Group, Kazakhtelecom
Voir aussi :
Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump Chrome pour Android chargerait les pages HTTPS plus vite sur des connexions lentes grâce à une mise à jour de la fonctionnalité Data Saver DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox 
Envoyé par sekaijin
