La Russie crée sa propre autorité de certification TLS pour contourner les sanctions,

Ces dernières ayant empêché les sites Web russes de renouveler leurs certificats

La Russie crée sa propre autorité de certification TLS pour contourner les sanctions,
ces dernières ayant empêché les sites Web russes de renouveler leurs certificats

Moscou a mis en place sa propre autorité de certification pour délivrer des certificats TLS aux sites Web russes touchés par les sanctions ou punis pour l'invasion de l'Ukraine par le président Poutine. Un avis publié sur le portail de service public unifié du gouvernement indique que les certificats seront mis à la disposition des sites Web russes incapables de renouveler ou d'obtenir des certificats de sécurité en raison des sanctions occidentales et des organisations qui refusent de prendre en charge les clients russes. La livraison des certificats est promise dans les cinq jours suivant la demande.

Les sanctions imposées par les entreprises et les gouvernements occidentaux empêchent les sites Web russes de renouveler les certificats TLS existants, ce qui amène les navigateurs à bloquer l'accès aux sites dont les certificats ont expiré. Les certificats TLS aident en effet le navigateur Web à confirmer qu'un domaine appartient à une entité vérifiée et que l'échange d'informations entre l'utilisateur et le serveur est chiffré. Ils sont donc utiles pour fournir des connexions HTTPS sécurisées. Après l'expiration d'un certificat, Chrome, Safari, Edge, Firefox, etc. affichent des avertissements en pleine page indiquant que les pages ne sont pas sécurisées.

Cela peut détourner de nombreux utilisateurs du site. Cependant, les autorités de certification TLS basées dans les pays qui ont imposé des sanctions à la Russie ne sont plus en mesure d'accepter des paiements des Russes pour leurs services, ce qui laisse de nombreux sites Web russes sans moyens pratiques de renouveler les certificats qui expirent. Pour résoudre le problème, l'État russe a imaginé une solution dans une autorité de certification nationale pour l'émission et le renouvellement indépendants des certificats TLS. « Elle remplacera le certificat de sécurité étranger s'il est révoqué ou expire », explique le portail des services publics russes, Gosuslugi.


« Le ministère du Développement numérique fournira un analogue national gratuit. Le service est fourni aux personnes morales - propriétaires de sites sur demande dans un délai de 5 jours ouvrables », lit-on sur le portail. Le portail ne dit rien sur les navigateurs qui accepteront les certificats. Il s'agit d'une question essentielle, car si les navigateurs ne reconnaissent pas ou ne font pas confiance à l'autorité de certification qui a émis un certificat, une connexion sécurisée n'est généralement pas possible. Les développeurs des principaux navigateurs pourraient être réticents à faire fonctionner ces certificats russes dans leurs applications.

Les Russes disposent d'une alternative locale. Yandex, l'analogue de Google dans le pays, a gagné 16 % de parts de marché local avec son navigateur YaBrowser, bien loin des 55 % de parts que Stat Counter attribue à Chrome de Google. Selon certaines sources, YaBrowser et certains produits Atom reconnaissent déjà les nouvelles autorités de certification russes comme dignes de confiance. Les utilisateurs russes sont donc invités à utiliser ces produits au lieu de Chrome, Firefox, Edge, etc. Parmi les sites qui ont déjà reçu et utilisent actuellement ces certificats fournis par l'État figuraient la Sberbank, la VTB et la Banque centrale russe.

Les médias russes ont également fait circuler une liste de 198 domaines qui auraient reçu un avis d'utilisation du certificat TLS national, mais pour l'instant, son utilisation n'a pas été rendue obligatoire. Les utilisateurs d'autres navigateurs, comme Chrome ou Firefox, peuvent ajouter manuellement le nouveau certificat racine russe pour continuer à utiliser les sites russes dotés du certificat émis par l'État. Cependant, des experts en cybersécurité préviennent que la Russie pourrait abuser de son autorité de certification TLS pour effectuer des interceptions de trafic HTTPS et des attaques de l'homme du milieu (man-in-the-middle).


Il serait assez facile pour les espions du Kremlin d'intercepter, de déchiffrer et d'espionner les connexions chiffrées à l'aide de certificats émis par le gouvernement. Plus il y a de sites Web utilisant des certificats émis par Moscou, plus les agents de l'État peuvent surveiller discrètement les connexions. Les autorités de certification sont censées jouir d'une confiance universelle. Mais en raison du contexte actuel, la Russie ne bénéficie actuellement d'aucun niveau de confiance. Il est donc peu probable que les principaux fournisseurs de navigateurs les ajoutent à leurs magasins de certificats.

La Russie semble également avoir besoin de se défendre, car des entités utilisant le nom et l'iconographie du collectif d'hacktivistes Anonymous affirment avoir piraté l'autorité russe de régulation des télécommunications et des médias Roskomnadzor et récupéré 820 Go de données dans l'un de ses bureaux d'État. Un message décrit les données comme étant constituées de 364 000 fichiers, dont 529 Go semblent être essentiellement des courriers électroniques.

Le reste comprend des fichiers de base de données détaillant des enquêtes juridiques et des questions de ressources humaines. Les auteurs de l'article d'Anonymous écrivent qu'ils prévoient de publier les données une fois qu'ils auront trouvé comment les extraire, et espèrent que cela informera les Russes sur la façon dont leur gouvernement censure les médias locaux.

Source : Le portail des services publics russes (Gosuslugi)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la mise en place d'une autorité de certifications TLS par Moscou ?

Voir aussi

DuckDuckGo procède au déréférencement des sites qui seraient associés à la désinformation russe, mais certains utilisateurs crient à la censure et demandent au moteur de recherche de revoir son action

L'Ukraine acceptée au centre de cyberdéfense de l'OTAN, après le refus de l'ICANN de couper la Russie de l'internet mondial

Facebook et Instagram vont autoriser de façon temporaire les appels à la violence contre les Russes en général en représailles à l'opération militaire en Ukraine, selon des courriels internes de Meta

Invasion de l'Ukraine : nous devrions envisager des sanctions sur Internet, déclare l'ex-PDG de l'ICANN, laisser les citoyens russes en ligne, mais bloquer les réseaux militaires

YouTube et Google Play suspendent tous les services basés sur le paiement en Russie, y compris les abonnements, les sanctions occidentales commencent à poser des problèmes bancaires dans le pays