Gros plan du navigateur Web sur l’écran LCD avec une mise au point peu profonde avec une lumière qui brille à travers un cadenas https. Sécurité Internet, certificat SSL, cybersécurité, moteurs de recherche et concepts de navigateur Web
Getty Images / iStockphoto
Les fabricants de navigateurs Apple, Google, Microsoft et Mozilla ont interdit aujourd’hui un certificat racine qui était utilisé par le gouvernement du Kazakhstan pour intercepter et décrypter le trafic HTTPS pour les résidents de la capitale du pays, la ville de Nur-Sultan (anciennement Astana).
Le certificat était utilisé depuis le 6 décembre 2020, lorsque les autorités kazakhes ont forcé les fournisseurs de services Internet locaux à empêcher les résidents de Nur-Sultan d’accéder à des sites étrangers à moins qu’un certificat numérique spécifique émis par le gouvernement soit installé sur leurs appareils.
Alors que les utilisateurs ont pu accéder à la plupart des sites hébergés à l’étranger, l’accès a été bloqué à des sites tels que Google, Twitter, YouTube, Facebook, Instagram et Netflix, à moins d’avoir le certificat installé.
Les responsables kazakhs ont justifié leurs actions en affirmant qu’ils menaient un exercice de formation à la cybersécurité pour les agences gouvernementales, les télécommunications et les entreprises privées.
Les responsables ont cité que les cyberattaques ciblant «le segment d’Internet du Kazakhstan» ont augmenté de 2,7 fois pendant la pandémie actuelle de COVID-19 comme raison principale du lancement de l’exercice.
L’explication du gouvernement n’avait cependant aucun sens technique, car les certificats ne peuvent pas empêcher les cyber-attaques de masse et ne sont généralement utilisés que pour crypter et protéger le trafic d’observateurs tiers.
Après l’interdiction d’aujourd’hui, même si les utilisateurs ont installé le certificat, les navigateurs comme Chrome, Edge, Mozilla et Safari, refuseront de les utiliser, empêchant les autorités kazakhes d’intercepter les données des utilisateurs.
L’interdiction d’aujourd’hui marque également la deuxième fois que les quatre fabricants de navigateurs interdisent un certificat délivré par le gouvernement kazakh pour des attaques de type Man-in-the-Middle (MitM). Ils ont bloqué un premier en août 2019, un certificat qui a été utilisé pour intercepter le trafic de divers sites de médias sociaux russes et anglophones.
