Le Kazakhstan cesse d'intercepter le trafic crypté, mais jusqu’à quand ?

Les autorités kazakhes sont revenues sur leur dernière intervention dans le cyberespace… pour le moment. Photographie : Maxim Edwards.

À la fin du mois de juillet 2019, les opérateurs de réseaux mobiles au Kazakhstan ont commencé à envoyer des SMS demandant à leurs clients d'installer un “certificat de sécurité nationale” sur tous les appareils numériques personnels dotés d'un accès à Internet. Ces messages affirmaient que le certificat protégerait les citoyens des cyberattaques. Ils ont également signalé aux utilisateurs n'ayant pas installé l'application qu'ils rencontreraient des problèmes pour accéder à certains sites internet (en particulier ceux avec cryptage HTTPS).

Cette nouvelle est survenue un mois et demi après que le gouvernement du Kazakhstan a bloqué l'accès à Internet et aux services de streaming le 9 juin, date à laquelle le pays a tenu ses élections présidentielles. La victoire de Kassym-Zhomart Tokayev, le successeur prévu de l'Elbasy (“chef de la nation” en kazakh), Noursoultan Nazarbaev, s'est déroulée au milieu de manifestations massives réclamant des élections équitables. Pendant ce temps, une coupure d'Internet a empêché les manifestants de coordonner leurs actions, aidant ainsi la police à les arrêter.

Ces mesures ont amené certains observateurs à craindre le début d’une répression plus large des droits numériques au Kazakhstan. Ainsi, bien que Tokayev ait annulé l’introduction controversée des “certificats de sécurité nationale” le 6 août, il y a tout lieu de penser que ce sera la dernière tentative du gouvernement de s’immiscer dans le cyberespace.

Peur et suspicion sur les réseaux sociaux

“Peu après [avoir reçu les SMS], nous avons été pris de panique. Les gens avaient peur de ne plus avoir accès à certains sites sans l'installation du certificat de sécurité”, a déclaré à Global Voices Gulmira Birzhanova, avocate au Centre de presse juridique du Kazakhstan du Nord [ru], une organisation non-gouvernementale (ONG) basée dans la capitale Astana.

Cependant, peu d'utilisateurs se sont précipités pour obéir aux messages SMS. “Je n’ai pas installé [l’application]. Je ne sais même pas si aucune de mes connaissances l’a fait”, a-t-elle ajouté.

Néanmoins, les demandes d'installation d'un outil de sécurité inconnu ont provoqué une vague de méfiance et d'indignation sur les réseaux sociaux. Yelena Shvetsova, une militante civique et directrice exécutive d’Erkindik Kanaty (une ONG dont le nom se traduit par “Ailes de la liberté”) décrit cette mesure comme une tentative du gouvernement d'accéder à des informations personnelles. “Je suis sûre que l'interception de notre correspondance et l'accès total à nos téléphones suivront. Et puis arrestations et poursuites ! ” a-t-elle écrit sur Facebook.

Un SMS du fournisseur de services mobiles Kcell partagé par Irina Sevostyanova sur Facebook, lui demandant d'installer le “certificat de sécurité numérique”.

Irina Sevostyanova, journaliste basée à Astana, a qualifié le certificat de sécurité nationale de “Big Brother” et s'est demandé si cela limiterait l'accès aux réseaux privés virtuels (VPN) [fr], outils permettant aux utilisateurs de contourner la censure et de naviguer sur internet en privé. Daniil Vartanov, expert en informatique du Kirghizistan voisin, a été l’une des premières personnes à réagir au lancement du certificat et a confirmé les soupçons des utilisateurs.

“Maintenant, ils peuvent lire et remplacer tout ce que vous regardez en ligne […] Tous les services de sécurité d'État, le ministère des Affaires intérieures ou même le neveu embauché illicitement par un haut responsable peuvent accéder à vos informations personnelles. Ce n’est pas une exagération ; c'est grave à ce point”, a-t-il écrit sur Facebook.

L'homme du milieu

Le 1er août, le procureur général du Kazakhstan a publié une déclaration rassurant les citoyens sur le fait que le certificat de sécurité nationale visait à protéger les internautes des contenus illicites et des cyberattaques, soulignant que l'État garantissait leur droit à la vie privée.

Les experts en informatique ont prouvé le contraire. Censored Planet, un projet de l'Université du Michigan surveillant les interférences de réseau dans plus de 170 pays, a averti que les autorités kazakhes avaient commencé à tenter d'intercepter le trafic crypté au moyen d'attaques de type “homme du milieu” le 17 juillet. Au moins 37 domaines ont été touchés, y compris les réseaux sociaux.

L’attaque de l’homme du milieu ou l’interception HTTPS sont des tentatives pour remplacer les certificats de sécurité en ligne authentiques par de faux certificats.

“Normalement, un certificat de sécurité aide un navigateur ou une application (par exemple, Instagram ou Snapchat) à s'assurer qu'il se connecte au vrai serveur. Si un État, un fournisseur [d’internet] ou un intrus illégal tente d'intercepter le trafic, l'application cessera de fonctionner et le navigateur affichera une erreur de certificat. Les autorités kazakhes poussent les citoyens à installer ce certificat afin que le navigateur et l'application continuent à fonctionner une fois l'interception détectée”, a expliqué D. Vartanov lors d'un entretien avec Global Voices début août.

L'histoire se répète

C’est la troisième fois que les autorités tentent d’imposer l’utilisation d'un certificat de sécurité nationale. Le premier a eu lieu à la fin du mois de novembre 2015, juste après que des modifications relatives aux certificats aient été apportées à la loi du Kazakhstan sur la communication. La loi oblige les opérateurs de télécommunication à appliquer un certificat de sécurité nationale à tout le trafic crypté, sauf dans les cas où le cryptage provient du Kazakhstan.

“La loi n’oblige pas les utilisateurs à installer le certificat, les fournisseurs d’accès à Internet en sont responsables. Sinon, une amende d'environ 250 000 tenge [environ 585 euros] pourrait être infligée”, a expliqué Mme Birzhanova.

Le même mois, les fournisseurs de services ont annoncé qu'un certificat de sécurité nationale entrerait en vigueur en janvier 2016. L'annonce a rapidement été annulée et la question est restée oubliée pendant trois ans. La deuxième tentative a eu lieu en mars 2019 et a à peine été remarquée par le public avant qu’il ne commence à recevoir les SMS susmentionnés en juillet.

Après deux semaines d’agitation sur les réseaux sociaux, Tokayev a annulé le certificat le 6 août.

Par mes ordres, le KNB (service de la sécurité de l’État) a effectué un test du certificat de sécurité dans le cadre du programme “cyber-bouclier”. Il a démontré la sécurité de l’espace de l’information de la république du Kazakhstan et la possibilité d’utiliser le certificat uniquement contre des cas d’intrusions de l’extérieur. Il ne présente aucun inconvénient pour les internautes. Merci au KNB.

Rien de personnel, des affaires seulement

Pourquoi Tokayev a-t-il suspendu cette initiative ?

Dimitry Doroshenko, un expert avec plus de quinze ans d’expérience dans le secteur des télécommunications en Asie centrale, estime que les préoccupations concernant la sécurité des transactions en ligne ont joué un rôle majeur.

“En cas d'attaque d’homme du milieu, un intrus illégal ou un État peut utiliser n’importe quelle donnée cryptée à sa propre discrétion. Tous les participants de tout échange d’informations sont compromis. La plupart des acteurs des marchés en ligne ne pourraient pas garantir la confidentialité et la sécurité des données”, a-t-il expliqué à Global Voices. “Il est évident que ni les géants de l’Internet, ni les banques ni les systèmes de paiement internationaux ne sont prêts à porter ce coup à leur réputation. En cas de fuite d'informations, ils seront tenus responsables et non pas l‘État, ce qui ne mènera pas à une enquête objective.”

Il convient également de rappeler qu'un scandale concernant la fuite de données a rendu la question de la vie privée particulièrement sensible au Kazakhstan ces derniers mois. Lors des élections présidentielles de juin, les informations personnelles de onze millions de citoyens kazakhstanais sont devenues publiques. Le 9 août, une enquête a trouvé des employés du comité électoral central responsables de l'accident.

Les citoyens du Kazakhstan ont également appelé les géants de la technologie à intervenir pour empêcher le gouvernement de créer un dangereux précédent. Le 21 août, Mozilla, Google et Apple ont accepté de bloquer le certificat de cryptage du gouvernement kazakhstanais. Dans sa déclaration, Mozilla a indiqué que les autorités du pays avaient déjà tenté d'inclure un certificat dans le programme de stockage racine fiable de Mozilla en 2015. «Après avoir découvert qu'ils avaient l'intention d'utiliser le certificat pour intercepter les données des utilisateurs, Mozilla a refusé la demande”, a expliqué l'entreprise.

Les déclarations séparées des sociétés incluaient chacune des promesses de développer des solutions techniques uniques permettant à chaque navigateur de mieux protéger la vie privée des utilisateurs.

Et après ?

“Personne n'a jamais essayé ce que le Kazakhstan tente de réaliser dans tout le pays. Le seul exemple, à une moindre échelle, serait l’installation de logiciels espions par les autorités chinoises sur les téléphones portables des touristes se rendant au Xinjiang”, a déclaré un expert en informatique russe qui a demandé à rester anonyme.

En effet, le Kazakhstan n'est pas le seul pays où le droit à la vie privée numérique est menacé. Le gouvernement britannique veut créer une porte dérobée pour accéder aux communications cryptées, à l'instar de ses partenaires aux États-Unis. Le Kremlin veut faire en sorte que les sociétés des réseaux sociaux stockent leurs données sur des serveurs situés en Russie.

Certains journalistes et experts comparent le certificat de sécurité nationale du Kazakhstan au “Grand Firewall” [fr] de la Chine voisine.

M. Vartanov a rejeté cette comparaison, affirmant que le Kazakhstan ne disposait tout simplement pas des ressources nécessaires pour lancer une “souveraineté de l'internet” à la chinoise. “Le marché chinois de l'Internet dispose de suffisamment de capacité pour disposer de ses propres clones de Facebook ou Twitter, alors que ce n'est pas le cas du Kazakhstan”, a-t-il expliqué. Une autre différence importante réside dans le fait que le Kazakhstan tente de tenir les internautes eux-mêmes responsables de l’abandon de la protection contre l’intrusion du gouvernement.

De nombreuses questions restent sans réponse depuis l’annonce de M. Tokayev concernant le certificat. Combien de personnes l'ont-ils installé ? Une fois installé, ont-ils réussi à le supprimer ? La loi sur la communication sera-t-elle modifiée afin de libérer les fournisseurs de services de la responsabilité de le faire installer par les utilisateurs ? Et pourquoi M.Tokayev a-t-il qualifié le certificat de sécurité nationale de “test” ?

“Je ne comprends pas pourquoi le gouvernement n’a pas dit que c’était un test depuis le début. Je pense qu’ils ont soit décidé d’attendre un meilleur moment pour lancer le certificat, soit ils résolvent les problèmes techniques survenus lors de l’essai”, a conclu Mme Birzhanova, convaincue que les autorités du Kazakhstan réessayeront d’appliquer le certificat.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.