L’objectif de ce certificat est de permettre au gouvernement d’intercepter et de déchiffrer les communications web protégées via SSL (le fameux petit cadenas vert). En installant le certificat racine Qaznet, chaque citoyen permettra ainsi au gouvernement de générer ensuite d’autres certificats, dits « ?intermédiaires ? », pour chaque site que les autorités souhaitent observer. Dans tous les cas étudiés par le F5 Labs, ce certificat intermédiaire était présenté comme un « ?certificat de sécurité ? ».

Une fois installé, le certificat dure jusqu’en 2046, à moins qu’il ne soit supprimé manuellement. Mais en le supprimant (ou en refusant tout simplement de l’installer), les internautes se voient malgré tout avertis lorsqu’ils visitent l’un des sites ciblés qu’ils autorisent quand même le gouvernement à intercepter leurs communications (par d’autres biais, probablement à moins grande échelle)

Selon le Comité de sécurité nationale (KNB) du Kazakhstan ce premier déploiement ne serait qu’un test grandeur nature. Le gouvernement entend à l’avenir utiliser le système non pour la surveillance de la population, mais seulement « ?en cas de menace pour la sécurité nationale, dans le cas de cyberattaques ? », et en prévenant les citoyens des interceptions qui seraient menées. Par ailleurs la KNB s’est également engagée à afficher sur son site Web des instructions pour retirer le certificat de sécurité des appareils personnels.

« ?Bien que ce ne soit pas la première fois qu’un gouvernement utilise une telle tactique de surveillance, rares sont ceux qui l’ont fait de manière aussi ouverte ?! Ce n’est ni plus ni moins, qu’une attaque de type “homme au milieu” (Man-in-the-Middle) à grande échelle ? », explique David Warburton, Principal Threat Evangelist chez F5 Networks.

La liste des sites touchés

Pour documenter les interceptions menées par le gouvernement du Kazakhstan, F5 Labs a routé des requêtes HTTP sur le réseau de l’un des FAI affectés. Ceci a été réalisé via un proxy web ouvert. F5 Labs a ensuite pointé ses outils de test SSL/TLS sur le top 1000 d’Alexa et le top 50 des plateformes sociales les plus populaires du Kazakhstan.

 ?
Parmi les sites majeurs interceptés, l’on trouve :

– android.com
– facebook.com
– fb.com
– g.co
– goo.gl
– google.com
– instagram.com
– googleusercontent.com
– mail.ru
– ok.ru
– twitter.com
– vk.com
– vkontakte.ru
– youtu.be
– youtube.com

« ?Bien que la liste semble réduite, elle contient certains des noms les plus populaires du web. Ainsi, rien que l’interception de google.com, android.com et mail.ru permettrait au gouvernement kazakh d’intercepter et de lire certains des services de messagerie les plus populaires sur Internet ? », poursuit David Warburton. « ?Curieusement, de nombreux sites de messagerie et de médias sociaux populaires tels que WhatsApp, Telegram et WeChat n’étaient pas interceptés lorsque nous avons effectué nos analyses. Cependant, il est important de préciser que le gouvernement kazakh pourrait modifier cette liste à tout moment ? ».

Les résultats de F5 Labs sont très proches de ceux présentés par le projet Censored Planet, qui a mené indépendamment une analyse similaire.

Conseils de remédiation pour les entreprises

Face à un tel scénario, F5 Labs conseille aux organisations d’envisager d’inclure dans leurs applications des tests destinés à détecter de telles interceptions et alerter leurs utilisateurs. En effectuant une seconde poignée de main SSL/TLS via un code Javascript dans la page, il est en effet possible de comparer l’empreinte du (faux) certificat envoyé au client avec celle du vrai certificat configuré sur le serveur officiel. Ainsi, même si les noms sont identiques, les empreintes cryptographiques seront différentes et l’interception pourra être détectée.

Des chercheurs de l’Université Carnegie Mellon ont d’ailleurs utilisé une technique similaire pour détecter d’autres interceptions SSL/TLS non déclarées, à travers Internet. En implémentant des poignées de main TLS supplémentaires dans des applets Flash cachées, les chercheurs ont pu détecter et capturer de faux certificats destinés aux utilisateurs de Facebook.

« ?Il sera intéressant de suivre l’évolution de la situation et de voir comment le Kazakhstan compte utiliser cette nouvelle capacité à l’avenir. Même s’il s’agit pour le moment d’un test, il est probable que le déploiement des certificats pour cet essai ait influencé l’utilisation locale d’Internet. Par exemple, nous ne savons pas combien de citoyens désinstalleront immédiatement ces certificats. Et pour ceux qui ne le feront pas, ils resteront actifs jusqu’en 2046, permettant l’interception du trafic par quiconque s’en procurerait la clé privée. Par ailleurs cela peut servir d’exemple à d’autres pays à travers le monde.? »