Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'interception HTTPS du Kazakhstan cible déjà des domaines comme ceux de Facebook, Twitter et Google,
Soulevant des craintes chez les chercheurs

Le , par Stéphane le calme

68PARTAGES

14  0 
Qu'est-ce qu'une interception HTTPS ?

HTTPS sécurise la communication entre les navigateurs et les sites Web en chiffrant la communication, empêchant les fournisseurs de services Internet et les gouvernements de la lire ou de la modifier. Les serveurs prouvent leur identité en présentant des certificats signés numériquement par des autorités de certification (CA), des entités sur lesquelles les navigateurs Web ont confiance pour garantir l'identité des sites. Par exemple, facebook.com fournit aux navigateurs un certificat signé par DigiCert, une autorité de certification approuvée et intégrée à pratiquement tous les navigateurs. Les navigateurs peuvent savoir qu'ils parlent au vrai facebook.com en validant le certificat présenté et en confirmant qu'il est signé par une autorité de certification en laquelle ils ont confiance (DigiCert). Le certificat fourni par facebook.com contient également une clé cryptographique publique utilisée pour sécuriser les communications ultérieures entre le navigateur et Facebook.

Dans une attaque par interception HTTPS (une sorte d'attaque de type «homme au milieu» ou MitM), un adversaire intégré au réseau prétend être un site Web (par exemple, facebook.com) et présente son propre faux certificat avec la clé publique de l'attaquant. En règle générale, l’attaquant ne peut pas obtenir une signature de certificat de l’autorité de certification légitime pour un domaine qu’il ne contrôle pas. Les navigateurs vont donc détecter et déjouer ce type d’attaque. Toutefois, si l’attaquant parvient à convaincre les utilisateurs d’installer un nouveau certificat racine dans leur navigateur, ceux-ci feront confiance aux faux certificats de l’attaquant signés par cette autorité de certification illégitime. Avec ces faux certificats, l'attaquant peut emprunter l'identité de n'importe quel site Web, en modifiant son contenu ou en enregistrant exactement ce que les utilisateurs font ou affichent sur le site.

Le cas du Kazakhstan

Depuis mercredi 17 juillet 2019, le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS à l'intérieur de ses frontières. Le gouvernement local a demandé aux fournisseurs de services Internet locaux de forcer leurs utilisateurs respectifs à installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs.

Une fois installé, le certificat permettra aux administrations locales de déchiffrer le trafic HTTPS des utilisateurs, d’en visualiser le contenu, de le chiffrer à nouveau avec leur certificat et de l’envoyer à sa destination.

Les utilisateurs kazakhs essayant d'accéder à Internet depuis mercredi ont été redirigés vers des pages Web contenant des instructions sur la procédure d'installation du certificat racine du gouvernement sur leurs navigateurs respectifs, qu'il s'agisse d'un ordinateur de bureau ou d'un appareil mobile.

Les détails ont été rares au cours des premiers jours qui ont suivi l'interception des interceptions HTTPS. Cependant, une nouvelle étude publiée cette semaine par Censored Planet fournit un aperçu plus détaillé de ce qui se passe dans le pays. Selon l'organisation, l'interception HTTPS ne concerne actuellement que 37 domaines (sur environ 1000 qui ont été testés), tous étant des réseaux sociaux et des sites de communication, tels que les domaines Facebook, Google, Twitter, Instagram, YouTube et VK, ainsi que quelques sites plus petits.


La liste complète des sites interceptés est disponible ci-dessous (regroupés par service et non par ordre alphabétique):
  • android.com
  • messages.android.com
    ------------------------------------
  • goo.gl
  • google.com
  • www.google.com
  • allo.google.com,
  • dns.google.com
  • docs.google.com
  • encrypted.google.com
  • mail.google.com
  • news.google.com
  • picasa.google.com
  • plus.google.com
  • sites.google.com
  • translate.google.com
  • video.google.com
  • groups.google.com
  • hangouts.google.com
    ------------------------------------
  • youtube.com
  • www.youtube.com
    ------------------------------------
  • facebook.com
  • www.facebook.com
  • messenger.com
  • www.messenger.com
    ------------------------------------
  • instagram.com
  • www.instagram.com
  • cdninstagram.com
    ------------------------------------
  • twitter.com
    ------------------------------------
  • vk.com
  • vk.me
  • vkuseraudio.net
  • vkuservideo.net
    ------------------------------------
  • mail.ru
  • ok.ru
  • rukoeb.com
  • sosalkino.tv
  • tamtam.chat

Un système d'interception encore en cours de test

Selon Censored Planet, les fournisseurs de services Internet locaux ne semblent pas participer dans leur totalité aux interceptions HTTPS pour le moment. Malgré la preuve que plusieurs fournisseurs de services Internet kazakhs contraignaient les utilisateurs à installer le certificat racine du gouvernement, Censored Planet a constaté que seul Kazakhtelecom (AS 9198 KazTelecom) interceptait activement les connexions HTTPS.

De plus, les interceptions HTTPS ne se produisent pas tout le temps. « Cela indique que le système d'interception est toujours en cours de test ou de mise au point, peut-être comme un précurseur d'un déploiement plus large », ont déclaré les chercheurs de Censored Planet.

L’équipe Censored Planet, qui comprend également des universitaires de l’Université du Michigan et de l’Université du Colorado, Boulder, a publié des informations détaillées sur la manière dont d’autres chercheurs peuvent étudier le phénomène de l’extérieur du pays et suivre les efforts d’espionnage du gouvernement kazakh.

Dans un communiqué, le gouvernement a expliqué : « À cause des cas fréquents de vol de données personnelles et de données d’identité, ainsi que d’argent des comptes bancaires du Kazakhstan, un certificat de sécurité a été introduit. Il sera un outil efficace pour protéger l’espace d’information du pays contre les pirates, les fraudeurs sur Internet et d’autres types de cyber-menaces afin de protéger les données et les systèmes d'information. Il aidera à identifier les cybercriminels ainsi que les cyber-fraudeurs qui s’attaquent aux systèmes d'espace d'information du pays, y compris les systèmes bancaires (...) En l'absence d'un certificat de sécurité sur les appareils d'abonné, des restrictions techniques peuvent survenir avec l'accès à certaines ressources Internet ».

Censored Planet prévient que « L’interception HTTPS du Kazakhstan affaiblit la sécurité et la confidentialité des utilisateurs Internet du pays. Bien que l'interception ne se produise pas encore dans tout le pays, il semble que le gouvernement soit à la fois disposé et potentiellement capable d'intercepter largement le protocole HTTPS dans un proche avenir. La communauté internationale doit surveiller de près cette pratique alarmante, qui va à l’encontre des décennies de progrès de la communauté de la sécurité informatique pour garantir que tous les sites Web sont protégés par un chiffrement puissant de bout en bout ».

Source : Censored Planet

Voir aussi :

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS
Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump
Chrome pour Android chargerait les pages HTTPS plus vite sur des connexions lentes grâce à une mise à jour de la fonctionnalité Data Saver
DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 25/07/2019 à 22:43
Je suis surpris de ne pas voir Yandex ...

Et ces 17 noms de domaines associés ?!

pseudo@ ...

"@yandex.com"
"@yandex.ru"
"@yandex.ua"
"@yandex.kz"
"@yandex.by"
"@yandex.uz"
"@yandex.tj"
"@yandex.az"
"@yandex.lv"
"@yandex.ee"
"@yandex.lt"
"@yandex.fr"
"@yandex.tm"
"@yandex.md"
"@yandex.com.tr"
"@ya.ru"
"@yandex.com.ge"
"@yandex.com.am"
"@yandex.tm"
0  0 
Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 22/08/2019 à 17:14
Bonjour,

Tout ce que le gouvernement russe essaye , les kazakhs essayent de le faire plus à plus petite échelle ... 11,5 millions d'habitants VS 150 millions ...
0  0 
Avatar de amosdesable
Futur Membre du Club https://www.developpez.com
Le 24/08/2019 à 6:55
Je m'entendais à cette mesure
0  0