Ahhhh cette belle période qu’est l’été … son soleil, ses plages, les gens qui déconnectent un peu et ses gouvernements qui passent des lois peu populaires discrètement. Si vous habitez au Kazakhstan, vous savez de quoi je parle !

Et si vous n’y habitez pas (il doit bien y en avoir quelques-uns parmi vous), laissez-moi vous expliquer.

Il y a quelques jours le gouvernement a tout simplement forcé les différents fournisseurs d’accès Internet du pays à rendre obligatoire pour tous leurs clients l’installation des certificats racines sur leurs appareils afin de pouvoir à nouveau accéder à Internet. Pas de certificat, pas de chocolat.

Et c’est plutôt hardcore. Car ces « certificats de confiance » permettent aux FAI d’intercepter et de surveiller les connexions chiffrées HTTPS (TLS) des utilisateurs, aidant ainsi le gouvernement à espionner ses propres citoyens et à censurer le contenu qu’il juge inapproprié. Ce n’est donc rien de moins qu’une attaque de l’homme du milieu ou man-in-the-middle attack (MITM)

Mais comment est-ce que ça fonctionne ? Et bien c’est simple. Habituellement vos appareils et navigateurs font appel à des tiers de confiance (appelés Autorités de Certification) qui ont leurs certificats racines installés sur votre machine et qui vous indiquent quel site est sécurisé ou non.

En s’imposant comme tiers de confiance (tu parles d’une confiance…) le gouvernement kazakh se donne le pouvoir de générer des certificats numériques valides pour tous les domaines qu’ils souhaitent surveiller à partir de votre trafic HTTPS.

L’info n’est pas nouvelle puisqu’ils avaient tenté une action similaire en 2016 (sans succès). De plus, les différents FAI annonçaient l’arrivée de cette loi à leurs abonnés depuis plusieurs mois donc pas vraiment de surprise pour la population. Ce qui est récent c’est qu’elle commence à entrer en vigueur depuis quelques jours. C’est Tele2, un des principaux fournisseurs du pays, qui a été le premier à rediriger toute connexion à un site HTTPS vers la page d’installation de ce fameux certificat de sécurité nationale (pour Windows, macOS, Android, et iOS). Les autres FAI devraient suivre sous peu.

Bien entendu comme à chaque fois c’est la carte de la sécurité qui est mise en avant. La mise en place de ce Big Brother kazakh fait suite je cite aux « cas fréquents de vol de données personnelles et de données d’identification, ainsi que de détournement d’argent sur des comptes bancaires du Kazakhstan« .

Déjà sur le principe c’est pas top, mais ce n’est pas mieux concernant la mise en place. En effet, comme les FAI expliquent à leurs abonnés comment installer un certificat tiers non officiels, cela pourrait exposer les personnes non techniques à des sites de phishing proposant d’effectuer la même opération mais à des fins d’escroquerie. Pas cool.

Et dans le « meilleur » des cas où le certificat kazakh est installé, cela offre aussi la possibilité aux FAI d’injecter des publicités ou des scripts de tracking sur toutes les pages Web visitées par les utilisateurs…

Encore un gouvernement qui a l’air d’avoir un pète au casaque.

Source