Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google, Apple et Mozilla bloquent l'espionnage par navigateur du gouvernement du Kazakhstan,
Après qu'ils aient utilisé un certificat racine pour intercepter et déchiffrer le trafic Internet

Le , par Bruno

86PARTAGES

11  0 
Dans un communiqué commun, Mozilla et Google ont rendu publiques les mesures prises contre le gouvernement du Kazakhstan. « Pour protéger la vie privée des personnes, ensemble, nous avons déployé des solutions techniques dans Firefox et Chrome pour empêcher le gouvernement du Kazakhstan d'intercepter le trafic Internet dans le pays ». Indique ce communiqué.

Cette réponse intervient après des informations crédibles selon lesquelles les fournisseurs de services Internet au Kazakhstan ont demandé à leurs habitants de télécharger et d'installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs afin d'accéder à Internet. Ce certificat n’est approuvé par aucune des sociétés et, une fois installé, il permet de déchiffrer et de lire tout ce que l'utilisateur écrit ou publie, y compris les informations de son compte et ses mots de passe. Cette mesure visait les personnes visitant des sites populaires comme Facebook, Twitter et Google, entre autres.

Ce gouvernement aurait récemment commencé à intercepter les connexions HTTPS à l’aide d’une fausse autorité de certification. Ce qui affaiblit considérablement Internet pour les internautes kazakhs.

Qu'est-ce qui dérange les concepteurs de navigateurs ?

HTTPS sécurise la communication entre les navigateurs et les sites Web en chiffrant les échanges, empêchant les fournisseurs de services Internet et les gouvernements de la lire ou de la modifier. Les serveurs prouvent leur identité en présentant des certificats signés numériquement par des autorités de certification (CA), des entités sur lesquelles les navigateurs Web ont confiance pour garantir l'identité des sites.

Par exemple, facebook.com fournit aux navigateurs un certificat signé par DigiCert, une autorité de certification approuvée et intégrée à pratiquement tous les navigateurs. Les navigateurs peuvent savoir qu'ils parlent au vrai correspondant en validant le certificat présenté et en confirmant qu'il est signé par une autorité de certification en laquelle ils ont confiance (DigiCert). Le certificat fourni par facebook.com contient également une clé cryptographique publique utilisée pour sécuriser les communications ultérieures entre le navigateur et Facebook.


Dans une attaque par interception HTTPS (une sorte d’attaque de type « homme du milieu »), un adversaire intégré au réseau prétend être un site Web (par exemple, facebook.com) et présente son propre faux certificat avec la clé publique de l’attaquant. Normalement, l'attaquant ne peut obtenir de l'autorité de certification légitime la signature d'un certificat pour un domaine qu'il ne contrôle pas. Les navigateurs vont donc détecter et déjouer ce type d'attaque.

Toujours vérifier les certificats avant de les accepter

Si l'attaquant parvient à convaincre les utilisateurs d'installer le nouveau certificat racine d'une autorité de certification dans leurs navigateurs, ceux-ci feront confiance aux faux certificats de l'attaquant signés par cette autorité de certification illégitime. Avec ces faux certificats, l'attaquant peut emprunter l'identité de n'importe quel site Web, en modifiant son contenu ou en enregistrant exactement ce que les utilisateurs font ou affichent sur le site. Pour cette raison, les utilisateurs ne doivent pas installer des certificats d'autorité de certification racine, car cela leur permet de faire intercepter ou de modifier leur communication à leur insu.

« Les gens du monde entier font confiance à Firefox pour les protéger lorsqu'ils naviguent sur Internet, en particulier lorsqu'il s'agit de les protéger contre de telles attaques qui compromettent leur sécurité. Nous ne prenons pas de telles mesures à la légère, mais la raison d'être de Firefox repose sur la protection de nos utilisateurs et sur l'intégrité du Web » a déclaré Marshall Erwin, l’un des responsables sécurité chez Mozilla.

« Nous ne tolérerons jamais aucune tentative, de la part d'une organisation, gouvernementale ou autre, de compromettre les données des utilisateurs de Chrome. Nous avons mis en place des protections contre ce problème spécifique et prendrons toujours des mesures pour sécuriser nos utilisateurs du monde entier ». Parisa Tabriz, directrice principale de l'ingénierie, Chrome.


Apple a également annoncé dans un communiqué qu'il prendrait des mesures similaires pour protéger les utilisateurs de son navigateur Safari. Un porte-parole a déclaré « Apple considère que la confidentialité est un droit humain fondamental. Nous concevons tous les produits Apple de manière à protéger les informations personnelles. Nous avons pris des mesures pour que le certificat ne soit pas approuvé par Safari et que nos utilisateurs soient protégés de cette question ». Plus tôt ce mois-ci, le Kazakhstan a déclaré qu'il avait interrompu la mise en œuvre du système, dont le déploiement initial a été qualifié de test par le gouvernement.

Les responsables de la sécurité de l’État avaient déclaré que l'objectif était de protéger les utilisateurs kazakhs contre « les attaques de pirates informatiques, la fraude en ligne et d’autres types de cybermenaces ». Le système pourrait être déployé à nouveau « si des menaces pesaient sur la sécurité nationale sous la forme d'attaques informatiques », a déclaré le comité de la sécurité nationale du Kazakhstan dans un communiqué publié ce mois-ci.

Ce n'est pas la première fois que le gouvernement du Kazakhstan tente d'intercepter le trafic Internet dans le pays. En 2015, le gouvernement du Kazakhstan a tenté d'inclure un certificat racine dans le programme de stockage racine de confiance de Mozilla. Après avoir découvert qu'ils avaient l'intention d'utiliser le certificat pour intercepter les données des utilisateurs, Mozilla a refusé la demande. Peu de temps après, le gouvernement a forcé les citoyens à installer manuellement son certificat, mais cette tentative a échoué après que des organisations eurent intenté des poursuites. L'ancienne nation soviétique d'Asie centrale bloque régulièrement les sites Web et les applications utilisées par ses critiques, notamment Facebook et YouTube, pendant de courtes périodes.

Censored Planet est une plate-forme permettant de mesurer différents types d'interférences sur Internet, elle surveille en permanence divers types d'interférences de réseau dans plus de 170 pays, à l'aide d'un ensemble de technique. Nos scanners nous ont tout d'abord alertés sur la présence d'une potentielle attaque « homme du milieu » au Kazakhstan dans la période du 20 juillet 2019. Nous l'avons d'abord détectée à l'aide d'une technique appelée HyperQuack, qui fonctionne en se connectant à certains serveurs. Si la réponse présente des signes d'interférence différents d'une prise de contact normale, le domaine est marqué comme potentiellement censuré dans le pays où le serveur est situé.

La situation avec Microsoft serait un peu plus trouble

Microsoft, le fabricant d’Edge et d’Internet Explorer, a déclaré « l’autorité de certification en question n’est pas approuvée dans notre programme racine de confiance ». Une liste complète des autorités de certification approuvées a été publiée par Microsoft. Les certificats ne seront pas installés par défaut, si Microsoft ne fait pas confiance au certificat, il sera peut-être un peu plus difficile pour les utilisateurs de l'installer. Mais un utilisateur de navigateur peut choisir de l'installer même par ignorance. Si Microsoft ne bloque pas la possibilité d'espionner les utilisateurs après l'installation du certificat, ils ne seront pas protégés comme les utilisateurs d'autres navigateurs.

Source : Reuters, Censored

Et vous ?

Pourquoi un tel acharnement sur certains gouvernements et pas sur d’autres ?

Comment comprendre la réaction de Microsoft face à celle de ces homologues ?

Voir aussi :

Le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS dans ses frontières, ce qui peut créer un dangereux précédent

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 22/08/2019 à 17:14
Bonjour,

Tout ce que le gouvernement russe essaye , les kazakhs essayent de le faire plus à plus petite échelle ... 11,5 millions d'habitants VS 150 millions ...
0  0 
Avatar de amosdesable
Futur Membre du Club https://www.developpez.com
Le 24/08/2019 à 6:55
Je m'entendais à cette mesure
0  0