En 2019, les médias ont révélé que le gouvernement du Kazakhstan avait recours à des mesures extrêmes pour surveiller ses citoyens, en utilisant un certificat racine pour intercepter leurs activités en ligne.
Cette pratique abusive n'est pas isolée au Kazakhstan. Partout dans le monde, les outils de sécurité peuvent être détournés pour compromettre la confidentialité des internautes, en collectant des données sur les sites visités et les communications en ligne.
Lorsque vous visitez un site comme MakeUseOf, l'URL commence par https (et non http), avec une icône de cadenas dans la barre d'adresse. Cela indique que le site est protégé par un chiffrement SSL/TLS (Secure Socket Layer/Transport Layer Security).
Ce chiffrement sécurise les données échangées entre votre navigateur et le site, garantissant que vous accédez au véritable site et non à un imposteur cherchant à voler vos informations.
Pour obtenir ce symbole de confiance, les propriétaires de sites font vérifier leur identité par une autorité de certification (CA), qui émet un certificat de sécurité. Les navigateurs comme Firefox et Chrome maintiennent une liste d'autorités de certification fiables.
Votre navigateur vérifie le certificat lors de la visite d'un site sécurisé et l'affiche si tout est en ordre.
Le certificat racine est le niveau supérieur de ces certificats, agissant comme un "certificat maître" qui valide tous les certificats inférieurs. Sa sécurité est donc cruciale pour l'ensemble du système. Les développeurs l'utilisent légitimement pour divers besoins.
Cependant, si un gouvernement ou une entité malveillante en abuse, elle peut installer des logiciels espions sur les communications chiffrées et accéder à des données privées.
En juillet 2019, le gouvernement kazakh a ordonné aux fournisseurs d'accès Internet (FAI) d'imposer l'installation d'un certificat racine gouvernemental nommé "Qaznet", présenté comme un "certificat de sécurité nationale", pour accéder à Internet.
Les FAI ont informé leurs clients de cette obligation.
Une fois installé, ce certificat permet au gouvernement d'intercepter massivement les données de navigation, y compris sur Google, Facebook et Twitter. Il peut même déchiffrer les connexions HTTPS/TLS pour accéder aux identifiants et mots de passe.
Aucun site n'est alors sécurisé.
Selon The Hacker News, cela équivaut à une attaque "man-in-the-middle" à l'échelle nationale. L'obligation imposée par les FAI rend l'évitement difficile.
De plus, l'installation nécessite une connexion HTTP non sécurisée, exposant les utilisateurs à des interceptions par des pirates.
Google, Apple et Mozilla ont réagi pour protéger les utilisateurs. Chrome bloque désormais le certificat kazakh, protégeant contre l'interception des connexions TLS sans action requise de la part des utilisateurs.
Mozilla a déployé un correctif similaire dans Firefox. Un ingénieur senior a déclaré : "Nous ne prenons pas de telles mesures à la légère, mais protéger nos utilisateurs et l'intégrité du Web est la mission de Firefox."
Mozilla rappelle des tentatives antérieures du Kazakhstan, comme en 2015, pour inclure son certificat dans le magasin de confiance.
Ces pratiques sont alarmantes. Au Kazakhstan, n'installez pas ce certificat ; supprimez-le si présent et changez tous vos mots de passe.
Dans les pays à forte surveillance, vérifiez scrupuleusement tout certificat avant installation.
Adoptez un VPN contre la surveillance, le navigateur Tor pour l'anonymat, et des messageries sécurisées comme Signal ou Telegram plutôt que les e-mails.
Le cas kazakh illustre les techniques de surveillance étatique. Étudiez-les pour vous en protéger. Notez que des pays comme les États-Unis et le Royaume-Uni ont aussi espionné leurs citoyens, comme révélé par les fuites sur la NSA.
