Situation : 
Le gouvernement kazakh a imposé depuis le 17 juillet à tous leurs fournisseurs de services internet d’intercepter les communications de leur client même lorsque celles-ci sont cryptées (HTTPS) afin que le gouvernement puisse les lire. Il dit que cela est dans un but de protéger les citoyens, institutions et le gouvernement lui-même contre les hackeurs et les cyber-menaces.

Analyse : 
Afin de décrypter les connexions HTTPS, les fournisseurs de services Internet ont dû forcer leurs utilisateurs à installer un certificat gouvernemental sur tous leurs appareils et dans tous leurs navigateurs.

Un certain nombre de certificats de sécurité sont préinstallés dans les ordinateurs afin d’attester que lorsque nous allons sur un site web crypté (httpS://zendata.ch) c’est bien le site authentique et que seul le site web destinataire peut décrypter les messages envoyés.

En ajoutant un certificat appartement au gouvernement, celui-ci peut permettre au gouvernement de rompre cette confiance (fourni avec les certificats préinstallés Wikipedia) et de décrypter les communications sans aucune indication vis-à-vis de l’utilisateur.

Avis personnel : 
C’est un triste jour pour internet. C’est le premier gouvernement à faire cela et risque d’inspirer d’autres. Ce genre d’attaque (ce que le gouvernement kazakh a fait est appelé une attaque MitM qui est une méthode souvent utilisée par les hackeurs) permet au gouvernement d’espionner ses citoyens avec tous les dangers que cela peut engendrer.

Il y a une décision importante et stratégique que les navigateurs web (Chome, firefox, Edge) doivent prendre. Soit ils n’interviennent pas dans les décisions des gouvernements d’espionner les personnes sur leur territoire, soit il décide de bloquer ou notifier les utilisateurs « victime ». Le risque en bloquant ou notifiant les utilisateurs est que le gouvernement kazakh impose un navigateur gouvernemental à leur citoyen diminuant ainsi encore plus leur sécurité.

Steven Meyer 
Partner & CEO 
Ing. EPFL, CISSP