La Russie crée sa propre autorité de certification TLS pour contourner les sanctions,
Ces dernières ayant empêché les sites Web russes de renouveler leurs certificats
Le 2022-03-11 11:04:27, par Bill Fassinou, Chroniqueur Actualités
Moscou a mis en place sa propre autorité de certification pour délivrer des certificats TLS aux sites Web russes touchés par les sanctions ou punis pour l'invasion de l'Ukraine par le président Poutine. Un avis publié sur le portail de service public unifié du gouvernement indique que les certificats seront mis à la disposition des sites Web russes incapables de renouveler ou d'obtenir des certificats de sécurité en raison des sanctions occidentales et des organisations qui refusent de prendre en charge les clients russes. La livraison des certificats est promise dans les cinq jours suivant la demande.
Les sanctions imposées par les entreprises et les gouvernements occidentaux empêchent les sites Web russes de renouveler les certificats TLS existants, ce qui amène les navigateurs à bloquer l'accès aux sites dont les certificats ont expiré. Les certificats TLS aident en effet le navigateur Web à confirmer qu'un domaine appartient à une entité vérifiée et que l'échange d'informations entre l'utilisateur et le serveur est chiffré. Ils sont donc utiles pour fournir des connexions HTTPS sécurisées. Après l'expiration d'un certificat, Chrome, Safari, Edge, Firefox, etc. affichent des avertissements en pleine page indiquant que les pages ne sont pas sécurisées.
Cela peut détourner de nombreux utilisateurs du site. Cependant, les autorités de certification TLS basées dans les pays qui ont imposé des sanctions à la Russie ne sont plus en mesure d'accepter des paiements des Russes pour leurs services, ce qui laisse de nombreux sites Web russes sans moyens pratiques de renouveler les certificats qui expirent. Pour résoudre le problème, l'État russe a imaginé une solution dans une autorité de certification nationale pour l'émission et le renouvellement indépendants des certificats TLS. « Elle remplacera le certificat de sécurité étranger s'il est révoqué ou expire », explique le portail des services publics russes, Gosuslugi.
« Le ministère du Développement numérique fournira un analogue national gratuit. Le service est fourni aux personnes morales - propriétaires de sites sur demande dans un délai de 5 jours ouvrables », lit-on sur le portail. Le portail ne dit rien sur les navigateurs qui accepteront les certificats. Il s'agit d'une question essentielle, car si les navigateurs ne reconnaissent pas ou ne font pas confiance à l'autorité de certification qui a émis un certificat, une connexion sécurisée n'est généralement pas possible. Les développeurs des principaux navigateurs pourraient être réticents à faire fonctionner ces certificats russes dans leurs applications.
Les Russes disposent d'une alternative locale. Yandex, l'analogue de Google dans le pays, a gagné 16 % de parts de marché local avec son navigateur YaBrowser, bien loin des 55 % de parts que Stat Counter attribue à Chrome de Google. Selon certaines sources, YaBrowser et certains produits Atom reconnaissent déjà les nouvelles autorités de certification russes comme dignes de confiance. Les utilisateurs russes sont donc invités à utiliser ces produits au lieu de Chrome, Firefox, Edge, etc. Parmi les sites qui ont déjà reçu et utilisent actuellement ces certificats fournis par l'État figuraient la Sberbank, la VTB et la Banque centrale russe.
Les médias russes ont également fait circuler une liste de 198 domaines qui auraient reçu un avis d'utilisation du certificat TLS national, mais pour l'instant, son utilisation n'a pas été rendue obligatoire. Les utilisateurs d'autres navigateurs, comme Chrome ou Firefox, peuvent ajouter manuellement le nouveau certificat racine russe pour continuer à utiliser les sites russes dotés du certificat émis par l'État. Cependant, des experts en cybersécurité préviennent que la Russie pourrait abuser de son autorité de certification TLS pour effectuer des interceptions de trafic HTTPS et des attaques de l'homme du milieu (man-in-the-middle).
Il serait assez facile pour les espions du Kremlin d'intercepter, de déchiffrer et d'espionner les connexions chiffrées à l'aide de certificats émis par le gouvernement. Plus il y a de sites Web utilisant des certificats émis par Moscou, plus les agents de l'État peuvent surveiller discrètement les connexions. Les autorités de certification sont censées jouir d'une confiance universelle. Mais en raison du contexte actuel, la Russie ne bénéficie actuellement d'aucun niveau de confiance. Il est donc peu probable que les principaux fournisseurs de navigateurs les ajoutent à leurs magasins de certificats.
La Russie semble également avoir besoin de se défendre, car des entités utilisant le nom et l'iconographie du collectif d'hacktivistes Anonymous affirment avoir piraté l'autorité russe de régulation des télécommunications et des médias Roskomnadzor et récupéré 820 Go de données dans l'un de ses bureaux d'État. Un message décrit les données comme étant constituées de 364 000 fichiers, dont 529 Go semblent être essentiellement des courriers électroniques.
Le reste comprend des fichiers de base de données détaillant des enquêtes juridiques et des questions de ressources humaines. Les auteurs de l'article d'Anonymous écrivent qu'ils prévoient de publier les données une fois qu'ils auront trouvé comment les extraire, et espèrent que cela informera les Russes sur la façon dont leur gouvernement censure les médias locaux.
Source : Le portail des services publics russes (Gosuslugi)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la mise en place d'une autorité de certifications TLS par Moscou ?
Voir aussi
DuckDuckGo procède au déréférencement des sites qui seraient associés à la désinformation russe, mais certains utilisateurs crient à la censure et demandent au moteur de recherche de revoir son action
L'Ukraine acceptée au centre de cyberdéfense de l'OTAN, après le refus de l'ICANN de couper la Russie de l'internet mondial
Facebook et Instagram vont autoriser de façon temporaire les appels à la violence contre les Russes en général en représailles à l'opération militaire en Ukraine, selon des courriels internes de Meta
Invasion de l'Ukraine : nous devrions envisager des sanctions sur Internet, déclare l'ex-PDG de l'ICANN, laisser les citoyens russes en ligne, mais bloquer les réseaux militaires
YouTube et Google Play suspendent tous les services basés sur le paiement en Russie, y compris les abonnements, les sanctions occidentales commencent à poser des problèmes bancaires dans le pays
Les sanctions imposées par les entreprises et les gouvernements occidentaux empêchent les sites Web russes de renouveler les certificats TLS existants, ce qui amène les navigateurs à bloquer l'accès aux sites dont les certificats ont expiré. Les certificats TLS aident en effet le navigateur Web à confirmer qu'un domaine appartient à une entité vérifiée et que l'échange d'informations entre l'utilisateur et le serveur est chiffré. Ils sont donc utiles pour fournir des connexions HTTPS sécurisées. Après l'expiration d'un certificat, Chrome, Safari, Edge, Firefox, etc. affichent des avertissements en pleine page indiquant que les pages ne sont pas sécurisées.
Cela peut détourner de nombreux utilisateurs du site. Cependant, les autorités de certification TLS basées dans les pays qui ont imposé des sanctions à la Russie ne sont plus en mesure d'accepter des paiements des Russes pour leurs services, ce qui laisse de nombreux sites Web russes sans moyens pratiques de renouveler les certificats qui expirent. Pour résoudre le problème, l'État russe a imaginé une solution dans une autorité de certification nationale pour l'émission et le renouvellement indépendants des certificats TLS. « Elle remplacera le certificat de sécurité étranger s'il est révoqué ou expire », explique le portail des services publics russes, Gosuslugi.
« Le ministère du Développement numérique fournira un analogue national gratuit. Le service est fourni aux personnes morales - propriétaires de sites sur demande dans un délai de 5 jours ouvrables », lit-on sur le portail. Le portail ne dit rien sur les navigateurs qui accepteront les certificats. Il s'agit d'une question essentielle, car si les navigateurs ne reconnaissent pas ou ne font pas confiance à l'autorité de certification qui a émis un certificat, une connexion sécurisée n'est généralement pas possible. Les développeurs des principaux navigateurs pourraient être réticents à faire fonctionner ces certificats russes dans leurs applications.
Les Russes disposent d'une alternative locale. Yandex, l'analogue de Google dans le pays, a gagné 16 % de parts de marché local avec son navigateur YaBrowser, bien loin des 55 % de parts que Stat Counter attribue à Chrome de Google. Selon certaines sources, YaBrowser et certains produits Atom reconnaissent déjà les nouvelles autorités de certification russes comme dignes de confiance. Les utilisateurs russes sont donc invités à utiliser ces produits au lieu de Chrome, Firefox, Edge, etc. Parmi les sites qui ont déjà reçu et utilisent actuellement ces certificats fournis par l'État figuraient la Sberbank, la VTB et la Banque centrale russe.
Les médias russes ont également fait circuler une liste de 198 domaines qui auraient reçu un avis d'utilisation du certificat TLS national, mais pour l'instant, son utilisation n'a pas été rendue obligatoire. Les utilisateurs d'autres navigateurs, comme Chrome ou Firefox, peuvent ajouter manuellement le nouveau certificat racine russe pour continuer à utiliser les sites russes dotés du certificat émis par l'État. Cependant, des experts en cybersécurité préviennent que la Russie pourrait abuser de son autorité de certification TLS pour effectuer des interceptions de trafic HTTPS et des attaques de l'homme du milieu (man-in-the-middle).
Il serait assez facile pour les espions du Kremlin d'intercepter, de déchiffrer et d'espionner les connexions chiffrées à l'aide de certificats émis par le gouvernement. Plus il y a de sites Web utilisant des certificats émis par Moscou, plus les agents de l'État peuvent surveiller discrètement les connexions. Les autorités de certification sont censées jouir d'une confiance universelle. Mais en raison du contexte actuel, la Russie ne bénéficie actuellement d'aucun niveau de confiance. Il est donc peu probable que les principaux fournisseurs de navigateurs les ajoutent à leurs magasins de certificats.
La Russie semble également avoir besoin de se défendre, car des entités utilisant le nom et l'iconographie du collectif d'hacktivistes Anonymous affirment avoir piraté l'autorité russe de régulation des télécommunications et des médias Roskomnadzor et récupéré 820 Go de données dans l'un de ses bureaux d'État. Un message décrit les données comme étant constituées de 364 000 fichiers, dont 529 Go semblent être essentiellement des courriers électroniques.
Le reste comprend des fichiers de base de données détaillant des enquêtes juridiques et des questions de ressources humaines. Les auteurs de l'article d'Anonymous écrivent qu'ils prévoient de publier les données une fois qu'ils auront trouvé comment les extraire, et espèrent que cela informera les Russes sur la façon dont leur gouvernement censure les médias locaux.
Source : Le portail des services publics russes (Gosuslugi)
Et vous ?
Voir aussi
-
SofEvansMembre émériteEuuhh, j'ai pas forcement tout tout bien suivi, mais de ton point de vue, la Russie envahi l'Ukraine juste pour protéger le Dombass ?
Parce que dans ce cas, ils protègent vachement bien le Dombass les russes, vu qu'ils sont allé jusqu'à Kiev. Et pis le "bout" de terre qui relie la Russie à la Crimée, c'était vitale de le prendre pour protéger le Dombass, tiens ...
Non, la Russie utilise l'excuse du Dombass.
De plus, juste comme ça : c'est moi qui ai mal compris où à l'origine le Dombass fait partie de l'Ukraine ?
Mais bon, faut dire que la Russie et l'Ukraine disent en chœurs "ça c'est à moi depuis le début", qui raison qui a tord ?
Si on avait un département de France qui tout d'un coup se revendiquait appartenir à un autre pays et que le dit pays se mettait à fournir des armes au département pour qu'il se soulève, je me demande comment la France réagirait ?
Bref, pour moi,c'est plus compliqué et plus subtil que "Ukraine gentil, Russe méchant", mais la Russie utilise clairement l'excuse du Dombass pour envahir l'Ukraine.le 16/03/2022 à 12:52 -
Le grisMembre avertiOù se trouvaient toutes ces belles têtes pensantes quand le USA envahissaient l'IRAK, l'Afghanistan ... Tout d'un coup, on devient tous défenseurs de la censure sur internet. En fait toutes les entités mises en place par l'occident sont juste des outils de pression contre ceux qui n'ont pas les mêmes vision politiques que nous. Je croyais à tors l'internet libre et ouvert jusqu'à la crise Russie - Ukraine.
Votre vision du monde à géométrie variable fera naitre un autre bloc. Et ça ne sera pas à l'avantage de l'occident.
Tout ça est dégoûtant.le 11/03/2022 à 22:51 -
JipétéExpert éminent séniorSalut,
J'ai surement raté une étape, alors une source fiable sera la bienvenue.
Merci,le 16/03/2022 à 12:49 -
calvaireExpert confirmé+1 On est abreuvés H24 de propagande antirusse, entre BFM antirusse et RT pro russe franchement les 2 ont une fiabilité proche de 0.
Le mieux est d'analyser les faits soi-même ! De voir les documents et vidéos d'archives qui eux sont des preuves réelles !
Je regardais beaucoup RT pendant la révolte des gilets jaunes et ils informaient bien mieux que BFM sur ce sujet. Au lieu de parler des casseurs ils montraient la majorité qui composait le mouvement et ses revendications.
Celui qui fait confiance à TF1 et BFM pour s’informer est aussi stupide (voir plus) que celui qui fait confiance à RT.
Je ne veux pas d'une guerre contre les Russes, mais les médias et politiciens occidentaux font pour je ne sais quelle raison monter la haine contre les Russes, voir les propos de Biden il y'a 2 jours sur Poutine...
Les Américains voulaient la guerre et veulent désormais clairement une aggravation du conflit, car cela leur profite pleinement.le 30/03/2022 à 13:37 -
marc.collinMembre émériteil suffit de penser à israel et à la palestine......
conflit peu suivit... quand il y a des morts palestiniens c'est toujours le même discourt d'israel des terroristes......... alors qu'Israel les aggresses depuis 70 ans
un état raciste et oprimant
https://www.journaldemontreal.com/20...la-citoyennetele 16/03/2022 à 12:52 -
marc.collinMembre émériteisrael grignote du terrain à la palestine depuis 70 ans... et c'est pas encore finile 16/03/2022 à 12:43
-
noremorseMembre habituépar contre, ces mêmes entreprises n'ont jamais laissé tomber la propagande ukrainienne. Bah ouais, le camp soi-disant du bien fait aussi de la propagandele 21/07/2022 à 12:48
-
OrthodoxWindowsMembre émériteL'Europe veut désormais acheter aussi du gaz à l'Azerbaïdjan. Pays très démocratique qui à envahi le Haut-Karabagh, puis expulsé les Arméniens, avec le soutien de la Turquie, des armes d’Israël et le silence complice de l'Europe, l’Allemagne en tête.
Donc rien de moral dans ces histoires de boycott du gaz russe.le 21/07/2022 à 14:18 -
coolspotMembre éprouvéAnonymous de toute façon c'est une blague.
C'est un amas de tout et n'importe quoi qui font n'importe quoi parce qu'ils sont n'importe qui
Apres on verras mais si c'est encore comme des ONG genre greenpeace qui ne cible que des entreprise européenne pour ne jamais cibler les entreprise US, on sait ce que ca donnerale 08/08/2022 à 14:35 -
Bonjour,La mission secrète des États-Unis pour renforcer les cyberdéfenses de l'Ukraine avant l'opération militaire russe
Quel est votre avis sur le sujet ?Invasion de l'Ukraine : nous devrions envisager des sanctions sur Internet, déclare l'ex-PDG de l'ICANN, laisser les citoyens russes en ligne, mais bloquer les réseaux militaires.
L'ancien chef de l'ICANN, deux parlementaires européens et une poignée d'experts techniques, sécuritaires et juridiques prévoient de publier une lettre ouverte à la l'ICANN, communauté de la gouvernance de l'Internet, dans laquelle ils démontrent que le moment est venu de développer un système de sanctions ciblées sur l'Internet. Le projet de lettre intitulé Multistakeholder Imposition of Internet Sanctions, fait suite à une demande des responsables du gouvernement ukrainien de bloquer tous les domaines web russes, de révoquer les certificats HTTPS et d'autres interventions techniques.
Selon vous, L'ICANN doit-elle appliquer des sanctions ciblées aux Russes ?
C'est comme ci demain l'UPI (union postal internationale) , décidait de son propre chef de bannir des pays des conventions internationales de l'adressage postal ou des indicatifs téléphonique internationaux .
"Le faire pression" sur la population comme bouclier humain ne fonctionne plus beaucoup ... Peut être revenir à plus de diplomatie autour d'une table physiquement ?La Russie crée sa propre autorité de certification TLS pour contourner les sanctions, ces dernières ayant empêché les sites Web russes de renouveler leurs certificats
Quel est votre avis sur le sujet ?. Que pensez-vous de la mise en place d'une autorité de certifications TLS par Moscou ?Anonymous affirme avoir mis la main sur 820 Go de données de l'agence fédérale russe chargée de la supervision des communications dont 526,9 Go d'emails et 290,6 Go de données brutes
Le groupe d'hacktivistes Anonymous a annoncé mercredi avoir vidé une base de données de près de 820 Go appartenant au Roskomnadzor, le service fédéral russe de supervision des communications, des technologies de l'information et des médias de masse. Le groupe a maintenant publié 364 000 fichiers, totalisant 527 Go, et près de 290,6 Go de données brutes. Ces dernières seraient dans des formats propriétaires et le collectif a déclaré qu'il n'a pas encore trouvé un moyen pour les extraire.
Quel est votre avis sur le sujet ?C'est des effets de comm' en somme. Que pensez-vous de cette fuite de données d'envergure ?Selon vous, en quoi cela pourrait-il impacter le gouvernement russe ?Envoyé par walfrat
Voilà ce qui se passe dans une économie mondialisée ... Mettre des sanctions impacte le sanctionneur ou bien impacte ceux qui n'ont rien demandé ...
C'est pas la ménagère russe qui vit au confin de l'oural qu'on cherche a sanctionner . C'est le "pouvoir" politique . Poutine lui même et les politiques qui lui gravitent autour.le 11/03/2022 à 14:47