Auteur Sujet: Kazakhstan : Le gouvernement (re)tente d'intercepter tout le traffic HTTPS  (Lu 1751 fois)

0 Membres et 1 Invité sur ce sujet

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
Le gouvernement Kazakh tente d'intercepter tout le traffic HTTPS

Source : https://www.zdnet.fr/actualites/le-kazakhstan-intercepte-tout-le-trafic-https-39887961.htm

Le mercredi 17 juillet 2019, le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS à l'intérieur de ses frontières.
Les fournisseurs locaux de services Internet ont reçu l'instruction du gouvernement de forcer leurs utilisateurs respectifs à installer un certificat émis par le gouvernement sur tous les appareils et dans chaque navigateur, permettant ainsi au gouvernement de lire tout le traffic https par attaque MITM.

Le gouvernement avait échoué fin 2015 à imposer son autorité de certification racine à sa population (via poursuites judiciaires).

Google, Microsoft, Mozilla étudient la question et n'ont à priori pas encore réagi.

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
Kazakhstan : Le gouvernement (re)tente d'intercepter tout le traffic HTTPS
« Réponse #1 le: 21 août 2019 à 16:48:03 »
Ce 21 aout (1 mois après), Google et Mozilla décident de blacklister le certificat racine.
Apple et Microsoft devraient suivre.

De toute façon, après que des avocats Kazakh aient lancé des poursuites judiciaires contres certains opérateurs mobiles à ce sujet, le gouvernement Kazakh annonce le 6 août que "en fait ce n'était qu'un test, ceux qui ont installé le certificat vous pouvez l'enlever maintenant".  ::)

hé ouiiiii les enfants c'était pour de faux ! Ils nous ont bien eu, ils avaient pas dit jacadi...  ;)

vivien

  • Administrateur
  • *
  • Messages: 47 088
    • Twitter LaFibre.info
Kazakhstan : Le gouvernement (re)tente d'intercepter tout le traffic HTTPS
« Réponse #2 le: 21 août 2019 à 17:08:00 »
Précision sur le blocage de Google et Firefox : L’autorité de certification Kazakh n’est pas reconnue comme autorité de confiance par les navigateurs (elle a essayé  ;D).

Ce qui s'est passé est d'un niveau supérieur : Le blocage du certificat mis en place par Google et par Firefox empêche les utilisateurs d’installer manuellement le certificat.

Il est donc impossible pour un utilisateur de suivre un tutoriel du gouvernement qui explique comment accéder aux sites chiffrés (il est de moins en moins possible de passer outre quand le certificat est rejeté - Firefox ne propose plus l'option pour continuer à surfer avec un certificat froduleux en place)

Le gouvernement devra proposer son propre navigateur si il souhaite poursuivre dans cette direction.