Le Kazakhstan intercepte maintenant tout le trafic internet du pays

Depuis une semaine, le gouvernement du Kazakhstan a commencé à intercepter tout le trafic internet HTTPS au sein de ses frontières. Les autorités ont demandé aux fournisseurs locaux de services internet de forcer leurs clients à installer un certificat racine délivré par le gouvernement sur tous les appareils et navigateurs.

L’HyperText Transfer Protocol Secure (HTTPS) est la combinaison du HTTP avec une couche de chiffrement qui permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable.

Déchiffrement de tout le trafic internet

Une fois installé, le certificat permettra aux administrations locales de déchiffrer le trafic HTTPS des utilisateurs, d’en visualiser le contenu, de le chiffrer à nouveau avec leur certificat et de l’envoyer vers son destinataire.

Depuis l’instauration de cette mesure, les utilisateurs kazakhs qui tentent d’accéder au web sont redirigés vers des pages internet qui leur expliquent la procédure d’installation du certificat du gouvernement sur leurs navigateurs, qu’il s’agisse d’un ordinateur fixe ou d’un dispositif mobile.

Dans un communiqué publié sur son site, le ministère du Développement numérique, de l’Innovation et de l’Aérospatiale du Kazakhstan a déclaré que pour l’heure seuls les utilisateurs d’Internet situés dans la capitale du Kazakhstan, Nur-Sultan, devront installer le certificat. Toutefois, la mesure semble concerner tous les utilisateurs du pays. Plusieurs internautes de tout le territoire ont ainsi expliqué qu’ils étaient dans l’incapacité d’accéder à Internet jusqu’à ce qu’ils aient installé le certificat du gouvernement. Selon des sources locales, certains utilisateurs ont également reçu des messages SMS sur leur smartphone pour leur demander d’installer les certificats.

Tentatives précédentes

Selon des responsables du ministère, la mesure vise à renforcer la protection des citoyens, des institutions gouvernementales et des entreprises privées contre les attaques informatiques, les fraudeurs et tout autre type d’attaque cybernétique.

En 2015, le gouvernement du Kazakhstan avait déjà tenté de faire installer un certificat racine par tous ses citoyens. Les utilisateurs devaient à l’époque installer ce certificat le 1er janvier 2016 au plus tard. Cependant, la mesure n’avait jamais été appliquée car plusieurs organisations (fournisseurs, banques et gouvernements étrangers) avaient poursuivi le gouvernement en justice car elles craignaient que la sécurité de tout le trafic internet (et des entreprises adjacentes) en provenance du pays soit affaiblie.

Parallèlement, en décembre 2015, le gouvernement kazakh a également demandé à Mozilla que son certificat racine soit inclus par défaut dans Firefox.  Mozilla avait décliné l’offre.

Actuellement, les fabricants de navigateurs tels que Google, Microsoft et Mozilla discutent d’un plan d’action sur la façon de gérer les sites qui ont été (re)chiffrés par le certificat racine du gouvernement kazakh. Aucune décision n’a été prise à l’heure actuelle.

Plus