La mauvaise blague a débuté le mois dernier selon ce que nous pouvons en lire sur les nombreux média qui relattent l'affaire. Le fait est qu'en pratique, il s'agit plutôt d'un projet de longue date puisqu'on se souviendra que l'entreprise française Amesys y a eu un projet de déploiement de sa solution de surveillance "à l'échelle d'une nation", Eagle, un projet qu'elle avait baptisé "Miko" et qui visait déjà avant 2012 au déploiement d'une solution de surveillance globale des internautes du Kazakhstan.
La solution qu'ont trouvé les autorités kazakhes pour surveiller les internautes est donc de contraindre à l'installation d'un certificat lui permettant de déchiffrer le trafic à la volée, ce de manière transparente pour l'internaute, et donc de rendre parfaitement inutile tout chiffrement du trafic. En se positionnant ainsi entre l'internaute et les services qu'ils consultent, comme les réseaux sociaux, les sites marchands, les sites de presse(...), il devient possible pour les autorités de surveiller toutes les données qui circulent... tout ce que frappe l'internaute dans son navigateur. Un "parfait" Man in the Middle. Une première tentative avait même été faite en 2015, une demande d'inclusion du certificat malveillant avait alors été très sérieusement faite à Mozilla, qui a bien entendu refusé. Parce que oui, l'inspection en profondeur de paquets, la technologie qui permet ces interceptions massives de flux de contenus, best-seller français chez les régimes autoritaires, ça fonctionne forcément moins bien avec du trafic chiffré.
Diffusé pendant 3 semaines, ce certificat a été installé sur beaucoup de machines de particuliers et d'entreprises, ainsi que de smartphones, puisque les FAI bloquaient tout simplement l'accès à Internet si le certificat n'était pas déployé.
Comme d'habitude dans ce genre de situation, les autorités du pays ont argué que ceci visait à « renforcer la protection des citoyens, des organismes officiels et des entreprises privées contre les attaques de pirates informatiques, des fraudeurs et tous types de cybermenaces »... une sorte de certificat magique qui fait tout.
Ce déploiement forcé a été stoppé net début août sans plus d'explication, mais le mal est fait puisque de nombreux internautes auront du mal à le désinstaller de leurs ordinateurs comme de leurs terminaux mobiles.
En réaction, Apple Safari, Google Chrome et Mozilla Firefox ont tout trois mis en place des mesures de "blocage" de ce certificat sous forme d'un avertissement aux utilisateurs quand ce certificat est détecté sur leur navigateur.
Les années passent, et les mauvais réflexes restent. La surveillance généralisée du Net reste un enjeu majeur pour de trop nombreux pays. Si cette tentative était peu discrète, elle a au moins le mérite de nous le rappeler. Il convient de garder à l'esprit que d'autres types d'attaques massives sur le trafic des internautes sont réalisables avec le concours des FAI, celles-ci bien plus discrètes, mais le contenu même des communications chiffrées reste, en pratique, compliqué à intercepter et à exploiter.
