Le Kazakhstan est un banc d'essai pour la nouvelle option nucléaire qui pourrait anéantir toute notre sécurité Web
2 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Au cours des dernières années, des efforts concertés ont été déployés pour améliorer la sécurité et la confidentialité des internautes en encourageant les sites Web à passer au HTTPS ; ce qui signifie que tout le trafic Internet entre le site Web et l'utilisateur est crypté. Cela signifie que même si les fournisseurs de services Internet peuvent savoir quels sites Web vous visitez, ils n'ont pas accès aux informations échangées entre le site Web et les utilisateurs finaux.
Google a été l'une des principales forces à l'origine de cette décision, en rétrogradant les sites Web dans leurs résultats de recherche très importants qui n'utilisent pas le cryptage HTTPS. Firefox et Google, à l'heure actuelle, marquent les sites Web qui n'utilisent pas HTTPS comme "non sécurisés". Cela a frustré les gouvernements et les agences de sécurité du monde entier ; mais l'ex-république russe, le Kazakhstan, a trouvé un moyen de contourner la sécurité en forçant les internautes à installer leur certificat racine.
Comme indiqué dans Bugzilla le 18 juillet, le FAI kazakh MITM envoie des messages SMS aux utilisateurs mobiles, les dirigeant vers un site Web où il leur est demandé d'installer le certificat infâme. Une fois cette opération effectuée, tout le trafic crypté vers Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com et Tamtam.chat est dirigé vers les serveurs du gouvernement avant d'être transmis aux hôtes. Les utilisateurs finaux signalent que cela a également entraîné le blocage de certains sites Web et pages sur Facebook et des erreurs 403.
Les résidents kazakhs commentant le fil Bugzilla ont décrit le gouvernement kazakh comme autoritaire et dictatorial, et encouragent Mozilla, les créateurs de Firefox, à prendre des mesures énergiques contre cette attaque de sécurité. Certaines suggestions proposées incluent : ne pas autoriser les utilisateurs finaux à installer des certificats et avertir les utilisateurs finaux que l'installation d'un certificat compromettrait explicitement leur confidentialité et leur sécurité, ce que le navigateur ne fait pas actuellement. Alternativement, des actions plus ciblées peuvent être prises, telles que la révocation du certificat. À l'heure actuelle, il ne semble pas y avoir d'accord précis sur la marche à suivre.
Alors que les problèmes affectant les 18.6 millions d'habitants du Kazakhstan peuvent ne pas sembler très importants pour le reste d'entre nous ; une telle attaque serait facile à reproduire par les gouvernements occidentaux, tels que les États-Unis, l'Australie et le Royaume-Uni, qui ont tous leurs propres motivations pour surveiller de plus près leurs citoyens, allant du terrorisme à la pornographie en passant par la violation du droit d'auteur.
Suivez le débat sur cette question très importante sur Bugzilla ici.
