Internet Kazakhstan Surveillance HTTPS certificat

Le Kazakhstan organise une surveillance massive de sa population sur Internet

Depuis le 17 juillet dernier, les fournisseurs d’accès à Internet au Kazakhstan demandent aux internautes d’installer un certificat qui pourrait permettre aux autorités de les surveiller. Une volonté sans précédent qui inquiète la communauté internationale.

L'auteur-trice de cet article a été rémunéré-e par les dons des lecteurs de Novastan. Envie de nous soutenir ? Vous pouvez faire un don unique ou devenir membre de notre association en France. Merci pour votre aide !

Le Kazakhstan est-il en passe de surveiller l’ensemble de sa population sur Internet ? C’est en tout cas la crainte qu’exprime bons nombres de médias internationaux et spécialisés alors que certains opérateurs demandent ou forcent leurs clients à installer un logiciel gouvernemental sur leurs appareils. 

Depuis le 17 juillet dernier, plusieurs fournisseurs d’accès à Internet kazakhs ont envoyé des messages à leurs usagers, les informant de la “nécessité” d’installer sur leur téléphone un mystérieux certificat pour éviter des “problèmes d’accès à certaines ressources Internet”.

Novastan est le seul média en français et en allemand spécialisé sur l'Asie centrale. Entièrement associatif, il fonctionne grâce à votre participation. Nous sommes indépendants et pour le rester, nous avons besoin de vous ! Vous pouvez nous soutenir à partir de 2 euros par mois, ou en devenant membre par ici.

“L’attaque de l’homme du milieu” : c’est ainsi que l’on appelle cette technique, souvent employée par des hackeurs, que le gouvernement Kazakhstan veut utiliser avec ce certificat pour intercepter les communications Internet de ses citoyens, en se plaçant entre eux et les serveurs des sites sur lesquels ils souhaitent aller. 

Un certificat “de sécurité” pour espionner Internet

Ce “certificat Quaznet” comme il est appelé par les opérateurs est un certificat racine, c’est-à-dire qu’il peut émettre les certificats qui permettent d’accéder à plusieurs sites Internet. L’utilisateur ne se rend compte de rien, mais sa connexion passe alors par des serveurs du gouvernement. Potentiellement, cette manœuvre du gouvernement kazakh cible ainsi un grand nombre de sites, surtout des services de messageries et des réseaux sociaux

message kazakhstan certificat internet

Pour protéger les utilisateurs, la plupart des sites fonctionnent avec un protocole de transfert hypertextuel sécurisé. Derrière ce mot à rallonge se cache l’appellation HTTPS, présente au début des liens sur Internet. Activé grâce à des certificats pour la plupart déjà installés sur les appareils, ce protocole permet d’accéder de façon chiffrée et sécurisée aux sites Internet. Ils sont reconnus par des autorités de certification

Lire aussi sur Novastan : Le Kazakhstan veut davantage contrôler son cyber-espace

Cependant, même s’il est labellisé “certificat de confiance” ou “certificat national de sécurité” par les fournisseurs Internet, le certificat racine kazakh délivré par Quaznet Trust Network n’est par reconnu par les autorités de certification internationales. Un certificat non certifié peut cependant être accepté par les serveurs s’il est téléchargé par l’utilisateur lui-même. Une fois installé sur l’appareil, Quaznet Trust Network peut donc intercepter et décrypter les communications faites sur Internet. 

message kazakhstan certificat internet


S’il est difficile à prouver, de nombreux spécialistes estiment que Quaznet Trust Network a été créé par le gouvernement. “Si tous les fournisseurs utilisent le même certificat, alors il doit venir du gouvernement”, estime Mohit Kumar, spécialiste en cybersécurité et fondateur du média The Hacker News, contacté par Novastan. Par ailleurs, selon le projet de fact-checking kazakh Factcheck.kz, Askar Diousekeïev, un employé des services de renseignement kazakhs, aurait enregistré le site le 20 juin dernier à Nur-Sultan, la capitale du pays.

Un seul fournisseur bloquant les connexions HTTPS

Pour l’instant, seul un fournisseur Internet, Tele2 a commencé à rediriger toutes les connections sécurisées HTTPS vers une page d’instruction pour le téléchargement du certificat national et donc à bloquer Internet. Leurs clients n’ont d’autre choix que d’accepter leur demande. Il est en effet très difficile de surfer sans certificat, de nombreux sites n’autorisant pas l’utilisation d’une connexion non-sécurisé. 

À l’heure actuelle, les abonnés des autres fournisseurs peuvent quant à eux simplement ignorer les messages demandant d’installer le certificat. L’opérateur Kcell a rapporté cependant que des problèmes de connexion à Internet pouvait survenir sans le certificat. Des experts en cyber sécurité suspectent l’opérateur de volontairement empêcher la connexion pour pousser les utilisateurs à télécharger le certificat du gouvernement.

Un “projet pilote” pour la capitale

Interrogé, le vice-ministre kazakh du Développement digital, de l’innovation et de l’industrie aéronautique Ablaykhan Ospanov a pourtant déclaré lors d’une conférence de presse le 19 juillet que le téléchargement du certificat racine était “volontaire”. Selon lui, le gouvernement doit “protéger (ses) citoyens des ressources Internet non protégées afin d’éviter toute fuite de données”, notamment de données bancaires.

Plus largement, le gouvernement comme les opérateurs justifient cette mesure par un amendement à la loi sur les communications passé en 2015. Selon l’article 26 de cette loi, tous les fournisseurs de services en lien avec les communications sont obligés de contrôler le trafic Internet chiffré de leurs clients. Elle ne dit cependant pas si ces certificats doivent être gouvernementaux. 

Lire aussi sur Novastan : Au Kazakhstan, bloquer Internet devient facile

Par ailleurs, Ablaykhan Ospanov a également déclaré qu’il s’agissait d’un projet pilote pour la capitale Nur-Sultan. Novastan a cependant constaté que les messages d’opérateurs ont également été envoyé à des internautes d’autres régions. Les fournisseurs Beeline, K-Cell, Active, Altel, Kazakhtelecom ont affiché sur leurs sites Internet l’obligation de télécharger le certificat racine sans préciser qu’il s’agissait seulement d’une mesure mise en place pour Nur-Sultan. 

Seul Olzhas Bibanov, chef des relations publiques de Tele2 Kazakhstan a déclaré au média kazakh Tengrinews que la mesure concernait seulement la capitale. “Les autorités compétentes nous ont demandé d’informer les abonnés de Nur-Sultan de la nécessité de télécharger un certificat de sécurité”, a-t-il affirmé.

“Phase test” pour le gouvernement kazakh

Pourquoi donc ne pas mettre en place cet outil de surveillance dans tout le pays ? Pour Mohit Kumar qui a travaillé sur le sujet, ces messages et le blocage des sites HTTPS par Tele2 font partie d’une “phase test”. “Ils sont probablement en train d’essayer de trouver un moyen d’intercepter et de scanner des billions de billions de paquets par minute pour récupérer seulement les informations qui les intéressent”, a-t-il expliqué à Novastan. 

Ce n’est pas la première fois que Nur-Sultan tente de contrôler Internet dans le pays. En plus de régulières coupures et du blocage de certains sites ou médias, le gouvernement avait déjà essayé de bloquer tout le trafic HTTPS du pays en 2015 avec la même technique de l’homme du milieu. Il avait cependant dû reculer après plusieurs procès de la part de fournisseurs Internet, de banques et de gouvernements étrangers.

La communauté internationale outrée

Cette manœuvre du gouvernement kazakh a provoqué une levée de bouclier dans la communauté numérique. À l’international, les défenseurs des libertés individuelles y voient une tentative de renforcer le contrôle de la société, quelques semaines après des arrestations de masse à la suite de manifestations en marge de l’élection présidentielle du 9 juin dernier

“Cette soi-disant mesure de sécurité ressemble plus à une tentative d’accroître la censure du gouvernement et les capacités de surveillance”, s’inquiète Courtney Radsch, la directrice du plaidoyer du Comité de protection des journalistes sur son site

Lire aussi sur Novastan : Élection présidentielle au Kazakhstan : l’opposition se cherche une place

Mais ces critiques proviennent seulement d’une petite communauté bien informée. La plupart des citoyens kazakhs qu’a pu contacter Novastan n’était pas au courant de cette tentative, ni de la possibilité d’intercepter les communications.

Une première dans l’histoire d’Internet

C’est pourtant une attaque sans précédent dans l’histoire d’Internet. Les certificats de sécurité ont en effet déjà été utilisé pour espionner des dissidents, notamment en Iran en 2011. Dans la plupart des cas, il s’agit d’un piratage de l’autorité de certification et d’une poignée de personnes ciblée seulement. Au Kazakhstan, les spécialistes en cybersécurité alertent sur la possibilité de contrôler toute la population.  

Envie d'Asie centrale dans votre boîte mail ? Inscrivez-vous gratuitement à notre newsletter hebdomadaire en cliquant ici.

La seule solution pour les citoyens pour garder une connexion privée et sécurisée serait une réponse ferme de la part des géants du Web : bloquer les certificats kazakhs, même s’ils sont installés par les usagers eux-mêmes. Les discussions internes en cours chez Mozilla “visent à déterminer si ce certificat racine doit figurer sur une liste noire”, a déclaré à Novastan un porte-parole de la fondation qui gère le navigateur web. Contactés également, Google et Microsoft n’ont pas répondu dans les temps de publication de notre article. 

Sur un des premiers forums Mozilla où a été signalée l’attaque, un internaute s’inquiétait déjà le jour suivant l’apparition des messages du “dangereux précédent” que pourrait créer le Kazakhstan si les géants du web ne réagissaient pas. “Si le Kazakhstan réussit son coup, de plus en plus de gouvernements (Russie, Iran, etc.) lanceront ce type d’attaque.”

Clara Marchaud

Si vous avez aimé cet article, n'hésitez pas à nous suivre sur Twitter, Facebook, Telegram, Linkedin ou Instagram ! Vous pouvez également vous inscrire pour recevoir notre newsletter hebdomadaire ou nous soutenir en devenant membre de la communauté Novastan.

Le Kazakhstan force ses citoyens à installer un certificat gouvernemental qui permet d’espionner leur activité sur Internet.
Yuri Samoilov via Visual Hunt
Exemple d’un message reçu par un abonné Tele2.
Forum Bugzilla de Mozilla
Capture d’écran du site Quaznet, qca.kz, proposant le certificat.
Capture d'écran Novastan
Partager avec
Aucun commentaire

Ecrire un commentaire

Captcha *