2 pièce(s) jointe(s)
L'interception HTTPS du Kazakhstan cible déjà des domaines comme ceux de Facebook, Twitter et Google
Le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS dans ses frontières,
ce qui peut créer un dangereux précédent
Depuis mercredi 17 juillet 2019, le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS à l'intérieur de ses frontières.
Le gouvernement local a demandé aux fournisseurs de services Internet locaux de forcer leurs utilisateurs respectifs à installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs.
Une fois installé, le certificat permettra aux administrations locales de déchiffrer le trafic HTTPS des utilisateurs, d’en visualiser le contenu, de le chiffrer à nouveau avec leur certificat et de l’envoyer à sa destination.
Les utilisateurs kazakhs essayant d'accéder à Internet depuis mercredi ont été redirigés vers des pages Web contenant des instructions sur la procédure d'installation du certificat racine du gouvernement sur leurs navigateurs respectifs, qu'il s'agisse d'un ordinateur de bureau ou d'un appareil mobile.
Le gouvernement du Kazakhstan affirme que c’est dans l’intérêt des citoyens
Les fournisseurs de services Internet locaux ont commencé à forcer leurs clients à installer le certificat racine du gouvernement à la suite d'une annonce officielle du gouvernement.
Dans un communiqué publié sur son site Web, le ministère du Développement numérique, de l'Innovation et de l'Aérospatiale du Kazakhstan a déclaré que seuls les utilisateurs d'Internet situés dans la capitale du Kazakhstan, Nur-Sultan, devront installer le certificat.
« Des organismes autorisés nous ont demandé d'informer les abonnés de Nur-Sultan de la nécessité d'établir un certificat de sécurité », a déclaré Olzhas Bibanov, responsable du service des relations publiques de Tele2 Kazakhstan. Selon lui, la demande ne concerne que les résidents de la capitale.
Le site des opérateurs Kcell et Activ a également reçu une notification d'installation d'un certificat de sécurité. « À cause des cas fréquents de vol de données personnelles et de données d’identité, ainsi que d’argent des comptes bancaires du Kazakhstan, un certificat de sécurité a été introduit. Il sera un outil efficace pour protéger l’espace d’information du pays contre les pirates, les fraudeurs sur Internet et d’autres types de cyber-menaces afin de protéger les données et les systèmes d'information. Il aidera à identifier les cybercriminels ainsi que les cyber-fraudeurs qui s’attaquent aux systèmes d'espace d'information du pays, y compris les systèmes bancaires (...) En l'absence d'un certificat de sécurité sur les appareils d'abonné, des restrictions techniques peuvent survenir avec l'accès à certaines ressources Internet », indique le communiqué sur les sites Internet des opérateurs.
Une mesure qui n’est pas cantonnée à la capitale
Si la mesure concernait officiellement la capitale dans un premier temps, des utilisateurs d’un peu partout sur le territoire ont déclaré qu’ils étaient dans l’incapacité d’accéder à internet avant d’installer le certificat du gouvernement. Selon le média local, certains utilisateurs ont également reçu des messages SMS sur leur smartphone pour leur demander d'installer les certificats.
Les opérateurs ont souligné que l'installation d'un certificat de sécurité doit être effectuée à partir de chaque appareil à partir duquel il y a un accès à Internet (téléphones mobiles et tablettes tournant sur iOS / Android, ordinateurs personnels et ordinateurs portables tournant sur Windows / MacOS). En l'absence d'un certificat de sécurité sur les périphériques d'abonné, l'accès à des ressources Internet individuelles peut être limité.
Les abonnés de Beeline (deuxième opérateur téléphonique en Russie) sont également invités à installer un certificat de sécurité. « Il est impératif de légiférer lorsque tous les appareils qui accèdent à Internet doivent recevoir un certificat de sécurité. Ce certificat a été développé par les autorités compétentes et doit être installé sur tous les appareils qui accèdent à Internet », a déclaré Alexey Benz, Corporate Communications Director à beeline.kz.
La réaction des éditeurs de navigateurs
Actuellement, les éditeurs de navigateurs tels que Google, Microsoft et Mozilla discutent d'un plan d'action sur la façon de gérer les sites qui ont été (re) chiffrés par le certificat racine du gouvernement kazakh. Aucune décision n'a été prise à l'heure actuelle.
Dans une discussion chez Mozilla, l’individu répondant au prénom Eugène suggère que cette autorité de certification figurer sur la liste noire de Mozilla et que Firefox ne devrait pas l'accepter du tout, même si l'utilisateur l'a installée manuellement. Il estime que cela préservera la vie privée de tous les utilisateurs d'Internet au Kazakhstan.
Plus loin, il en appelle à la collaboration entre Mozilla et Google :
« Je pense que Mozilla et Google devraient intervenir dans cette situation, car elle peut créer un précédent dangereux, annulant tous les efforts de renforcement de HTTPS.
« Si le Kazakhstan réussit, de plus en plus de gouvernements (par exemple, la Fédération de Russie, l'Iran, etc.) lanceront des attaques mondiales de MITM contre leurs citoyens, ce qui n'est pas bon.
« Je pense que toutes les autorités de certification utilisées pour les attaques MITM devraient être explicitement inscrites sur la liste noire de Mozilla et de Google, afin d’exclure toute possibilité de telles attaques ».
Le gouvernement n’en est pas à sa première tentative
Le gouvernement kazakh a d'abord tenté de faire installer un certificat racine par tous ses citoyens en décembre 2015. À l'époque, il avait décidé que tous les utilisateurs kazakhs devaient installer leur certificat racine le 1er janvier 2016 au plus tard.
La décision n'a jamais été mise en œuvre car plusieurs organisations, dont des FAI, des banques et des gouvernements étrangers, ont poursuivi le gouvernement en justice, craignant d'affaiblir la sécurité de tout le trafic Internet (et des entreprises adjacentes) en provenance du pays.
Parallèlement, en décembre 2015, le gouvernement kazakh a également demandé à Mozilla que son certificat racine soit inclus par défaut dans Firefox, mais Mozilla a décliné l'offre.
Sources : média local, Bugzilla, Google Group, Kazakhtelecom
Voir aussi :
:fleche: Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
:fleche: Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
:fleche: Chrome pour Android chargerait les pages HTTPS plus vite sur des connexions lentes grâce à une mise à jour de la fonctionnalité Data Saver
:fleche: DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
1 pièce(s) jointe(s)
L'interception HTTPS du Kazakhstan cible déjà des domaines comme ceux de Facebook, Twitter et Google
L'interception HTTPS du Kazakhstan cible déjà des domaines comme ceux de Facebook, Twitter et Google,
soulevant des craintes chez les chercheurs
Qu'est-ce qu'une interception HTTPS ?
HTTPS sécurise la communication entre les navigateurs et les sites Web en chiffrant la communication, empêchant les fournisseurs de services Internet et les gouvernements de la lire ou de la modifier. Les serveurs prouvent leur identité en présentant des certificats signés numériquement par des autorités de certification (CA), des entités sur lesquelles les navigateurs Web ont confiance pour garantir l'identité des sites. Par exemple, facebook.com fournit aux navigateurs un certificat signé par DigiCert, une autorité de certification approuvée et intégrée à pratiquement tous les navigateurs. Les navigateurs peuvent savoir qu'ils parlent au vrai facebook.com en validant le certificat présenté et en confirmant qu'il est signé par une autorité de certification en laquelle ils ont confiance (DigiCert). Le certificat fourni par facebook.com contient également une clé cryptographique publique utilisée pour sécuriser les communications ultérieures entre le navigateur et Facebook.
Dans une attaque par interception HTTPS (une sorte d'attaque de type «homme au milieu» ou MitM), un adversaire intégré au réseau prétend être un site Web (par exemple, facebook.com) et présente son propre faux certificat avec la clé publique de l'attaquant. En règle générale, l’attaquant ne peut pas obtenir une signature de certificat de l’autorité de certification légitime pour un domaine qu’il ne contrôle pas. Les navigateurs vont donc détecter et déjouer ce type d’attaque. Toutefois, si l’attaquant parvient à convaincre les utilisateurs d’installer un nouveau certificat racine dans leur navigateur, ceux-ci feront confiance aux faux certificats de l’attaquant signés par cette autorité de certification illégitime. Avec ces faux certificats, l'attaquant peut emprunter l'identité de n'importe quel site Web, en modifiant son contenu ou en enregistrant exactement ce que les utilisateurs font ou affichent sur le site.
Le cas du Kazakhstan
Depuis mercredi 17 juillet 2019, le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS à l'intérieur de ses frontières. Le gouvernement local a demandé aux fournisseurs de services Internet locaux de forcer leurs utilisateurs respectifs à installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs.
Une fois installé, le certificat permettra aux administrations locales de déchiffrer le trafic HTTPS des utilisateurs, d’en visualiser le contenu, de le chiffrer à nouveau avec leur certificat et de l’envoyer à sa destination.
Les utilisateurs kazakhs essayant d'accéder à Internet depuis mercredi ont été redirigés vers des pages Web contenant des instructions sur la procédure d'installation du certificat racine du gouvernement sur leurs navigateurs respectifs, qu'il s'agisse d'un ordinateur de bureau ou d'un appareil mobile.
Les détails ont été rares au cours des premiers jours qui ont suivi l'interception des interceptions HTTPS. Cependant, une nouvelle étude publiée cette semaine par Censored Planet fournit un aperçu plus détaillé de ce qui se passe dans le pays. Selon l'organisation, l'interception HTTPS ne concerne actuellement que 37 domaines (sur environ 1000 qui ont été testés), tous étant des réseaux sociaux et des sites de communication, tels que les domaines Facebook, Google, Twitter, Instagram, YouTube et VK, ainsi que quelques sites plus petits.
La liste complète des sites interceptés est disponible ci-dessous (regroupés par service et non par ordre alphabétique):
- android.com
- messages.android.com
------------------------------------ - goo.gl
- google.com
- www.google.com
- allo.google.com,
- dns.google.com
- docs.google.com
- encrypted.google.com
- mail.google.com
- news.google.com
- picasa.google.com
- plus.google.com
- sites.google.com
- translate.google.com
- video.google.com
- groups.google.com
- hangouts.google.com
------------------------------------ - youtube.com
- www.youtube.com
------------------------------------ - facebook.com
- www.facebook.com
- messenger.com
- www.messenger.com
------------------------------------ - instagram.com
- www.instagram.com
- cdninstagram.com
------------------------------------ - twitter.com
------------------------------------ - vk.com
- vk.me
- vkuseraudio.net
- vkuservideo.net
------------------------------------ - mail.ru
- ok.ru
- rukoeb.com
- sosalkino.tv
- tamtam.chat
Un système d'interception encore en cours de test
Selon Censored Planet, les fournisseurs de services Internet locaux ne semblent pas participer dans leur totalité aux interceptions HTTPS pour le moment. Malgré la preuve que plusieurs fournisseurs de services Internet kazakhs contraignaient les utilisateurs à installer le certificat racine du gouvernement, Censored Planet a constaté que seul Kazakhtelecom (AS 9198 KazTelecom) interceptait activement les connexions HTTPS.
De plus, les interceptions HTTPS ne se produisent pas tout le temps. « Cela indique que le système d'interception est toujours en cours de test ou de mise au point, peut-être comme un précurseur d'un déploiement plus large », ont déclaré les chercheurs de Censored Planet.
L’équipe Censored Planet, qui comprend également des universitaires de l’Université du Michigan et de l’Université du Colorado, Boulder, a publié des informations détaillées sur la manière dont d’autres chercheurs peuvent étudier le phénomène de l’extérieur du pays et suivre les efforts d’espionnage du gouvernement kazakh.
Dans un communiqué, le gouvernement a expliqué : « À cause des cas fréquents de vol de données personnelles et de données d’identité, ainsi que d’argent des comptes bancaires du Kazakhstan, un certificat de sécurité a été introduit. Il sera un outil efficace pour protéger l’espace d’information du pays contre les pirates, les fraudeurs sur Internet et d’autres types de cyber-menaces afin de protéger les données et les systèmes d'information. Il aidera à identifier les cybercriminels ainsi que les cyber-fraudeurs qui s’attaquent aux systèmes d'espace d'information du pays, y compris les systèmes bancaires (...) En l'absence d'un certificat de sécurité sur les appareils d'abonné, des restrictions techniques peuvent survenir avec l'accès à certaines ressources Internet ».
Censored Planet prévient que « L’interception HTTPS du Kazakhstan affaiblit la sécurité et la confidentialité des utilisateurs Internet du pays. Bien que l'interception ne se produise pas encore dans tout le pays, il semble que le gouvernement soit à la fois disposé et potentiellement capable d'intercepter largement le protocole HTTPS dans un proche avenir. La communauté internationale doit surveiller de près cette pratique alarmante, qui va à l’encontre des décennies de progrès de la communauté de la sécurité informatique pour garantir que tous les sites Web sont protégés par un chiffrement puissant de bout en bout ».
Source : Censored Planet
Voir aussi :
:fleche: Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
:fleche: Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
:fleche: Chrome pour Android chargerait les pages HTTPS plus vite sur des connexions lentes grâce à une mise à jour de la fonctionnalité Data Saver
:fleche: DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
2 pièce(s) jointe(s)
Google, Apple et Mozilla bloquent l'espionnage par navigateur du gouvernement du Kazakhstan
Google, Apple et Mozilla bloquent l'espionnage par navigateur du gouvernement du Kazakhstan,
après qu’ils aient utilisé un certificat racine pour intercepter et déchiffrer le trafic Internet
Dans un communiqué commun, Mozilla et Google ont rendu publiques les mesures prises contre le gouvernement du Kazakhstan. « Pour protéger la vie privée des personnes, ensemble, nous avons déployé des solutions techniques dans Firefox et Chrome pour empêcher le gouvernement du Kazakhstan d'intercepter le trafic Internet dans le pays ». Indique ce communiqué.
Cette réponse intervient après des informations crédibles selon lesquelles les fournisseurs de services Internet au Kazakhstan ont demandé à leurs habitants de télécharger et d'installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs afin d'accéder à Internet. Ce certificat n’est approuvé par aucune des sociétés et, une fois installé, il permet de déchiffrer et de lire tout ce que l'utilisateur écrit ou publie, y compris les informations de son compte et ses mots de passe. Cette mesure visait les personnes visitant des sites populaires comme Facebook, Twitter et Google, entre autres.
Ce gouvernement aurait récemment commencé à intercepter les connexions HTTPS à l’aide d’une fausse autorité de certification. Ce qui affaiblit considérablement Internet pour les internautes kazakhs.
Qu'est-ce qui dérange les concepteurs de navigateurs ?
HTTPS sécurise la communication entre les navigateurs et les sites Web en chiffrant les échanges, empêchant les fournisseurs de services Internet et les gouvernements de la lire ou de la modifier. Les serveurs prouvent leur identité en présentant des certificats signés numériquement par des autorités de certification (CA), des entités sur lesquelles les navigateurs Web ont confiance pour garantir l'identité des sites.
Par exemple, facebook.com fournit aux navigateurs un certificat signé par DigiCert, une autorité de certification approuvée et intégrée à pratiquement tous les navigateurs. Les navigateurs peuvent savoir qu'ils parlent au vrai correspondant en validant le certificat présenté et en confirmant qu'il est signé par une autorité de certification en laquelle ils ont confiance (DigiCert). Le certificat fourni par facebook.com contient également une clé cryptographique publique utilisée pour sécuriser les communications ultérieures entre le navigateur et Facebook.
Dans une attaque par interception HTTPS (une sorte d’attaque de type « homme du milieu »), un adversaire intégré au réseau prétend être un site Web (par exemple, facebook.com) et présente son propre faux certificat avec la clé publique de l’attaquant. Normalement, l'attaquant ne peut obtenir de l'autorité de certification légitime la signature d'un certificat pour un domaine qu'il ne contrôle pas. Les navigateurs vont donc détecter et déjouer ce type d'attaque.
Toujours vérifier les certificats avant de les accepter
Si l'attaquant parvient à convaincre les utilisateurs d'installer le nouveau certificat racine d'une autorité de certification dans leurs navigateurs, ceux-ci feront confiance aux faux certificats de l'attaquant signés par cette autorité de certification illégitime. Avec ces faux certificats, l'attaquant peut emprunter l'identité de n'importe quel site Web, en modifiant son contenu ou en enregistrant exactement ce que les utilisateurs font ou affichent sur le site. Pour cette raison, les utilisateurs ne doivent pas installer des certificats d'autorité de certification racine, car cela leur permet de faire intercepter ou de modifier leur communication à leur insu.
« Les gens du monde entier font confiance à Firefox pour les protéger lorsqu'ils naviguent sur Internet, en particulier lorsqu'il s'agit de les protéger contre de telles attaques qui compromettent leur sécurité. Nous ne prenons pas de telles mesures à la légère, mais la raison d'être de Firefox repose sur la protection de nos utilisateurs et sur l'intégrité du Web » a déclaré Marshall Erwin, l’un des responsables sécurité chez Mozilla.
« Nous ne tolérerons jamais aucune tentative, de la part d'une organisation, gouvernementale ou autre, de compromettre les données des utilisateurs de Chrome. Nous avons mis en place des protections contre ce problème spécifique et prendrons toujours des mesures pour sécuriser nos utilisateurs du monde entier ». Parisa Tabriz, directrice principale de l'ingénierie, Chrome.
Apple a également annoncé dans un communiqué qu'il prendrait des mesures similaires pour protéger les utilisateurs de son navigateur Safari. Un porte-parole a déclaré « Apple considère que la confidentialité est un droit humain fondamental. Nous concevons tous les produits Apple de manière à protéger les informations personnelles. Nous avons pris des mesures pour que le certificat ne soit pas approuvé par Safari et que nos utilisateurs soient protégés de cette question ». Plus tôt ce mois-ci, le Kazakhstan a déclaré qu'il avait interrompu la mise en œuvre du système, dont le déploiement initial a été qualifié de test par le gouvernement.
Les responsables de la sécurité de l’État avaient déclaré que l'objectif était de protéger les utilisateurs kazakhs contre « les attaques de pirates informatiques, la fraude en ligne et d’autres types de cybermenaces ». Le système pourrait être déployé à nouveau « si des menaces pesaient sur la sécurité nationale sous la forme d'attaques informatiques », a déclaré le comité de la sécurité nationale du Kazakhstan dans un communiqué publié ce mois-ci.
Ce n'est pas la première fois que le gouvernement du Kazakhstan tente d'intercepter le trafic Internet dans le pays. En 2015, le gouvernement du Kazakhstan a tenté d'inclure un certificat racine dans le programme de stockage racine de confiance de Mozilla. Après avoir découvert qu'ils avaient l'intention d'utiliser le certificat pour intercepter les données des utilisateurs, Mozilla a refusé la demande. Peu de temps après, le gouvernement a forcé les citoyens à installer manuellement son certificat, mais cette tentative a échoué après que des organisations eurent intenté des poursuites. L'ancienne nation soviétique d'Asie centrale bloque régulièrement les sites Web et les applications utilisées par ses critiques, notamment Facebook et YouTube, pendant de courtes périodes.
Censored Planet est une plate-forme permettant de mesurer différents types d'interférences sur Internet, elle surveille en permanence divers types d'interférences de réseau dans plus de 170 pays, à l'aide d'un ensemble de technique. Nos scanners nous ont tout d'abord alertés sur la présence d'une potentielle attaque « homme du milieu » au Kazakhstan dans la période du 20 juillet 2019. Nous l'avons d'abord détectée à l'aide d'une technique appelée HyperQuack, qui fonctionne en se connectant à certains serveurs. Si la réponse présente des signes d'interférence différents d'une prise de contact normale, le domaine est marqué comme potentiellement censuré dans le pays où le serveur est situé.
La situation avec Microsoft serait un peu plus trouble
Microsoft, le fabricant d’Edge et d’Internet Explorer, a déclaré « l’autorité de certification en question n’est pas approuvée dans notre programme racine de confiance ». Une liste complète des autorités de certification approuvées a été publiée par Microsoft. Les certificats ne seront pas installés par défaut, si Microsoft ne fait pas confiance au certificat, il sera peut-être un peu plus difficile pour les utilisateurs de l'installer. Mais un utilisateur de navigateur peut choisir de l'installer même par ignorance. Si Microsoft ne bloque pas la possibilité d'espionner les utilisateurs après l'installation du certificat, ils ne seront pas protégés comme les utilisateurs d'autres navigateurs.
Source : Reuters, Censored
Et vous ?
:fleche: Pourquoi un tel acharnement sur certains gouvernements et pas sur d’autres ?
:fleche: Comment comprendre la réaction de Microsoft face à celle de ces homologues ?
Voir aussi :
:fleche: Le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS dans ses frontières, ce qui peut créer un dangereux précédent
:fleche: Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS