Les médias ont rapporté en 2019 que le gouvernement du Kazakhstan avait pris des mesures extrêmes pour surveiller les citoyens de son pays. En particulier, le gouvernement utilise un outil appelé certificat racine pour espionner les activités en ligne des citoyens.
Cependant, l'utilisation abusive des certificats racine n'est pas seulement un problème au Kazakhstan. Les internautes du monde entier doivent être conscients de la manière dont les outils de sécurité peuvent être utilisés à mauvais escient. Ces outils peuvent compromettre la confidentialité et collecter des données sur les sites que vous visitez et les messages que vous envoyez en ligne.
Lorsque vous naviguez sur un site Web comme MakeUseOf, vous verrez que l'URL commence par https au lieu de http . Vous verrez également une icône qui ressemble à un cadenas à côté de l'URL dans la barre d'adresse. Cela signifie qu'un type de cryptage appelé Secure Socket Layer/Transport Layer Security (SSL/TLS) protège le site Web.
Avec ce cryptage, les données transmises entre vous et le site Web sont sécurisées. Ainsi, vous pouvez être sûr que le site auquel vous accédez est le véritable MakeUseOf et non un site imposteur essayant de voler vos données.
Pour obtenir ce symbole de verrouillage auquel les utilisateurs peuvent faire confiance, les propriétaires de sites paient une organisation appelée autorité de certification (CA) pour les vérifier. Lorsqu'une autorité de certification vérifie qu'un site est authentique, elle émet un certificat de sécurité . Les développeurs de navigateurs Web tels que Firefox et Chrome conservent une liste d'autorités de certification de confiance dont ils acceptent les certificats.
Ainsi, lorsque vous visitez un site comme MakeUseOf, votre navigateur trouve le certificat, vérifie qu'il provient d'une autorité de certification de confiance et affiche le site sécurisé.
Un certificat racine est le plus haut niveau de certificat de sécurité disponible. C'est important car ce "certificat maître" vérifie tous les certificats en dessous. Cela signifie que la sécurité du certificat racine détermine la sécurité d'un système entier. Les développeurs utilisent des certificats racine pour de nombreuses raisons valables.
Cependant, lorsqu'un gouvernement ou une autre entité utilise à mauvais escient les certificats racine, il peut installer des logiciels espions sur les communications cryptées et accéder à des données privées.
En juillet 2019, le gouvernement du Kazakhstan a publié un avis aux fournisseurs de services Internet (FAI) du pays. Le gouvernement a déclaré que les FAI devaient rendre obligatoire l'installation d'un certificat racine émis par le gouvernement pour que les utilisateurs puissent accéder à Internet. Le certificat délivré par le gouvernement s'appelle "Qaznet" et est décrit comme un "certificat de sécurité nationale".
Les FAI ont consciencieusement demandé à leurs clients d'installer le certificat s'ils souhaitaient accéder à Internet.
Une fois le certificat installé, le gouvernement peut l'utiliser pour intercepter une énorme quantité de données de navigation. Le gouvernement peut voir l'activité sur des sites populaires comme Google, Facebook et Twitter. Il peut même déchiffrer les connexions HTTPS et TLS et accéder aux noms d'utilisateur et mots de passe des comptes.
Cela signifie qu'aucun site n'est sécurisé si le certificat est installé.
Le gouvernement lance essentiellement une attaque "man in the middle" sur l'ensemble du pays, selon le blog de sécurité The Hacker News. Étant donné que les FAI rendent le certificat obligatoire, les utilisateurs n'ont aucun moyen de l'éviter facilement s'ils souhaitent continuer à accéder à Internet.
De plus, les utilisateurs ne peuvent installer le certificat que sur une connexion non HTTPS. Une personne doit utiliser une connexion HTTP moins sécurisée pour installer le certificat. Et les pirates pourraient intercepter ce processus pour installer leur propre certificat dommageable à la place.
Des entreprises technologiques telles que Google, Apple et Mozilla ont réagi à la situation au Kazakhstan. Ils se sont engagés à protéger les utilisateurs contre la surveillance gouvernementale. Le navigateur Google Chrome bloque désormais le certificat utilisé par le gouvernement du Kazakhstan, selon un article de blog.
Google a pris cette mesure "pour protéger les utilisateurs contre l'interception ou la modification des connexions TLS établies avec les sites Web". Les utilisateurs n'ont aucune action à effectuer pour être protégés. Le navigateur bloquera automatiquement ce certificat particulier.
De même, Mozilla a déployé une solution sur son navigateur Firefox. Cette solution bloquera également le certificat utilisé par le gouvernement du Kazakhstan. La société a annoncé le correctif avec un ingénieur senior de la société déclarant :"Nous ne prenons pas des mesures comme celle-ci à la légère, mais la protection de nos utilisateurs et de l'intégrité du Web est la raison d'être de Firefox." En collaboration avec Chrome, Firefox appliquera automatiquement le blocage.
Mozilla a également mentionné des cas passés de tentatives du gouvernement kazakh d'intercepter le trafic Internet. Cela inclut une précédente tentative infructueuse d'inclure un certificat racine dans le programme de magasin racine de confiance de Mozilla en 2015.
L'utilisation abusive des certificats racine est évidemment préoccupante. Mais que pouvez-vous réellement faire à ce sujet en tant qu'utilisateur ? Premièrement, si vous êtes au Kazakhstan, vous ne devez pas installer le certificat sur votre appareil. Si vous l'avez déjà installé, désinstallez-le immédiatement. Vous devez également modifier les mots de passe de tous vos comptes en ligne. Cela empêchera le gouvernement d'accéder à vos données de navigation.
Si vous vivez dans un pays où les niveaux de surveillance Internet sont élevés, vous devez être à l'affût des certificats douteux. Si vous êtes invité à installer un certificat de sécurité, vous devez rechercher s'il est fiable avant de l'installer sur votre appareil.
Vous devez également prendre d'autres mesures pour protéger vos données. Vous devez utiliser un VPN pour vous protéger de la surveillance. Pensez également à utiliser le navigateur Tor pour accéder à Internet de manière anonyme. Soyez également prudent avec les e-mails, car il est très difficile de protéger les e-mails de la surveillance. Envisagez plutôt d'utiliser une application de messagerie sécurisée comme Signal ou Telegram.
La situation au Kazakhstan n'est qu'un exemple de la façon dont les gouvernements peuvent espionner leurs citoyens par le biais de leurs activités sur Internet. Vous devriez apprendre comment les gouvernements et les entreprises peuvent déployer des techniques de surveillance afin que vous puissiez essayer de les éviter.
De peur que vous pensiez que ce n'est un problème que dans d'autres pays, rappelez-vous que des endroits comme les États-Unis et le Royaume-Uni ont également l'habitude d'espionner leurs citoyens. Pour rappel, vous pouvez en savoir plus sur les moments où vos données ont été transmises de manière choquante à la NSA.