Qu'est-ce qu'une interception HTTPS ?HTTPS sécurise la communication entre les navigateurs et les sites Web en chiffrant la communication, empêchant les fournisseurs de services Internet et les gouvernements de la lire ou de la modifier. Les serveurs prouvent leur identité en présentant des certificats signés numériquement par des autorités de certification (CA), des entités sur lesquelles les navigateurs Web ont confiance pour garantir l'identité des sites. Par exemple, facebook.com fournit aux navigateurs un certificat signé par DigiCert, une autorité de certification approuvée et intégrée à pratiquement tous les navigateurs. Les navigateurs peuvent savoir qu'ils parlent au vrai facebook.com en validant le certificat présenté et en confirmant qu'il est signé par une autorité de certification en laquelle ils ont confiance (DigiCert). Le certificat fourni par facebook.com contient également une clé cryptographique publique utilisée pour sécuriser les communications ultérieures entre le navigateur et Facebook.
Dans une attaque par interception HTTPS (une sorte d'attaque de type «homme au milieu» ou MitM), un adversaire intégré au réseau prétend être un site Web (par exemple, facebook.com) et présente son propre faux certificat avec la clé publique de l'attaquant. En règle générale, l’attaquant ne peut pas obtenir une signature de certificat de l’autorité de certification légitime pour un domaine qu’il ne contrôle pas. Les navigateurs vont donc détecter et déjouer ce type d’attaque. Toutefois, si l’attaquant parvient à convaincre les utilisateurs d’installer un nouveau certificat racine dans leur navigateur, ceux-ci feront confiance aux faux certificats de l’attaquant signés par cette autorité de certification illégitime. Avec ces faux certificats, l'attaquant peut emprunter l'identité de n'importe quel site Web, en modifiant son contenu ou en enregistrant exactement ce que les utilisateurs font ou affichent sur le site.
Le cas du Kazakhstan
Depuis mercredi 17 juillet 2019, le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS à l'intérieur de ses frontières. Le gouvernement local a demandé aux fournisseurs de services Internet locaux de forcer leurs utilisateurs respectifs à installer un certificat délivré par le gouvernement sur tous les appareils et dans tous les navigateurs.
Une fois installé, le certificat permettra aux administrations locales de déchiffrer le trafic HTTPS des utilisateurs, d’en visualiser le contenu, de le chiffrer à nouveau avec leur certificat et de l’envoyer à sa destination.
Les utilisateurs kazakhs essayant d'accéder à Internet depuis mercredi ont été redirigés vers des pages Web contenant des instructions sur la procédure d'installation du certificat racine du gouvernement sur leurs navigateurs respectifs, qu'il s'agisse d'un ordinateur de bureau ou d'un appareil mobile.
Les détails ont été rares au cours des premiers jours qui ont suivi l'interception des interceptions HTTPS. Cependant, une nouvelle étude publiée cette semaine par Censored Planet fournit un aperçu plus détaillé de ce qui se passe dans le pays. Selon l'organisation, l'interception HTTPS ne concerne actuellement que 37 domaines (sur environ 1000 qui ont été testés), tous étant des réseaux sociaux et des sites de communication, tels que les domaines Facebook, Google, Twitter, Instagram, YouTube et VK, ainsi que quelques sites plus petits.
La liste complète des sites interceptés est disponible ci-dessous (regroupés par service et non par ordre alphabétique):
- android.com
- messages.android.com
------------------------------------ - goo.gl
- google.com
- www.google.com
- allo.google.com,
- dns.google.com
- docs.google.com
- encrypted.google.com
- mail.google.com
- news.google.com
- picasa.google.com
- plus.google.com
- sites.google.com
- translate.google.com
- video.google.com
- groups.google.com
- hangouts.google.com
------------------------------------ - youtube.com
- www.youtube.com
------------------------------------ - facebook.com
- www.facebook.com
- messenger.com
- www.messenger.com
------------------------------------ - instagram.com
- www.instagram.com
- cdninstagram.com
------------------------------------ - twitter.com
------------------------------------ - vk.com
- vk.me
- vkuseraudio.net
- vkuservideo.net
------------------------------------ - mail.ru
- ok.ru
- rukoeb.com
- sosalkino.tv
- tamtam.chat
Un système d'interception encore en cours de test
Selon Censored Planet, les fournisseurs de services Internet locaux ne semblent pas participer dans leur totalité aux interceptions HTTPS pour le moment. Malgré la preuve que plusieurs fournisseurs de services Internet kazakhs contraignaient les utilisateurs à installer le certificat racine du gouvernement, Censored Planet a constaté que seul Kazakhtelecom (AS 9198 KazTelecom) interceptait activement les connexions HTTPS.
De plus, les interceptions HTTPS ne se produisent pas tout le temps. « Cela indique que le système d'interception est toujours en cours de test ou de mise au point, peut-être comme un précurseur d'un déploiement plus large », ont déclaré les chercheurs de Censored Planet.
L’équipe Censored Planet, qui comprend également des universitaires de l’Université du Michigan et de l’Université du Colorado, Boulder, a publié des informations détaillées sur la manière dont d’autres chercheurs peuvent étudier le phénomène de l’extérieur du pays et suivre les efforts d’espionnage du gouvernement kazakh.
Dans un communiqué, le gouvernement a expliqué : « À cause des cas fréquents de vol de données personnelles et de données d’identité, ainsi que d’argent des comptes bancaires du Kazakhstan, un certificat de sécurité a été introduit. Il sera un outil efficace pour protéger l’espace d’information du pays contre les pirates, les fraudeurs sur Internet et d’autres types de cyber-menaces afin de protéger les données et les systèmes d'information. Il aidera à identifier les cybercriminels ainsi que les cyber-fraudeurs qui s’attaquent aux systèmes d'espace d'information du pays, y compris les systèmes bancaires (...) En l'absence d'un certificat de sécurité sur les appareils d'abonné, des restrictions techniques peuvent survenir avec l'accès à certaines ressources Internet ».
Censored Planet prévient que « L’interception HTTPS du Kazakhstan affaiblit la sécurité et la confidentialité des utilisateurs Internet du pays. Bien que l'interception ne se produise pas encore dans tout le pays, il semble que le gouvernement soit à la fois disposé et potentiellement capable d'intercepter largement le protocole HTTPS dans un proche avenir. La communauté internationale doit surveiller de près cette pratique alarmante, qui va à l’encontre des décennies de progrès de la communauté de la sécurité informatique pour garantir que tous les sites Web sont protégés par un chiffrement puissant de bout en bout ».
Source : Censored Planet
Voir aussi :
Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla à l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS, aux côtés de l'article 13 et de Trump Chrome pour Android chargerait les pages HTTPS plus vite sur des connexions lentes grâce à une mise à jour de la fonctionnalité Data Saver DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox 
