La Russie veut interdire l’utilisation de protocoles sécurisés
Le gouvernement russe travaille à la mise à jour de ses lois sur la technologie afin d’interdire l’utilisation de protocoles Internet modernes qui peuvent entraver ses capacités de surveillance et de censure.
Selon une copie de la proposition de modification de la loi et une note explicative, l’interdiction vise les protocoles et technologies Internet tels que TLS 1.3, DoH, DoT et ESNI.
Les responsables ne cherchent pas à interdire le HTTPS et les communications chiffrées dans leur ensemble, car celles ci sont nécéssaires aux transactions financières, aux communications, à l’armée et aux infrastructures critiques.
Au lieu de cela, le gouvernement veut interdire l’utilisation de protocoles internet qui cachent “le nom (identifiant) d’une page web” dans le trafic HTTPS.
Le trafic HTTPS a des fuites
Aujourd’hui, si le HTTPS chiffre le contenu d’une connexion Internet, il existe diverses techniques que des tiers tels que les opérateurs de télécommunications peuvent appliquer pour déterminer le site auquel un internaute se connecte.
Les tiers ne sont peut-être pas en mesure de casser le chiffrement et d’intercepter le trafic, mais ils peuvent suivre ou bloquer les utilisateurs sur la base de ces fuites d’informations. C’est ainsi que fonctionnent aujourd’hui certains contrôles parentaux au niveau des fournisseurs d’accès Internet et certaines listes de blocage de sites pour infractions aux droits d’auteur.
Les deux principales techniques utilisées par les opérateurs de télécommunications aujourd’hui comprennent (1) la surveillance du trafic DNS ou (2) l’analyse du champ SNI (Server Name Identification) dans le trafic HTTPS.
La première technique fonctionne parce que les navigateurs et les applications effectuent des requêtes DNS en clair, révélant la destination du site de l’utilisateur avant même qu’une future connexion HTTPS ne soit établie.
La deuxième technique fonctionne parce que le champ SNI des connexions HTTPS est laissé non chiffré et permet également aux tiers de déterminer vers quel site une connexion HTTPS se dirige.
Les nouveaux protocoles entravent la surveillance et la censure
Mais au cours de la dernière décennie, de nouveaux protocoles Internet ont été créés et publiés pour résoudre ces deux problèmes.
Le DoH (DNS over HTTPS) et le DoT (DNS over TLS) peuvent chiffrer les requêtes DNS.
Et lorsqu’ils sont combinés, TLS 1.3 et l’ESNI (Server Name Identification) peuvent également empêcher les fuites d’information au travers du champ SNI.
Ces protocoles sont lentement adoptés, tant par les navigateurs que par les fournisseurs de services dans le cloud et les sites web du monde entier.Preuve de leur efficacité, la Chine a mis à jour son outil de censure Great Firewall pour bloquer le trafic HTTPS qui s’appuyait sur TLS 1.3 et ESNI.
La Russie n’utilise pas de système comparable, mais le régime de Moscou s’appuie sur un système appelé SORM qui permet aux forces de l’ordre d’intercepter le trafic internet à des fins répressives directement à la source, dans les centres de données des opérateurs de télécommunications.
De plus, le ministère russe des télécommunications, le Roskomnadzor, a mis en place un systeme de censure grâce à son pouvoir de régulation sur les fournisseurs d’accès locaux. Depuis une dizaine d’années, le Roskomnadzor interdit les sites web qu’il juge dangereux et demande aux FAI de filtrer leur trafic et de bloquer l’accès aux sites respectifs.
Avec l’adoption de TLS 1.3, du DoH, du DoT et de l’ESNI, tous les outils de surveillance et de censure actuels de la Russie deviendront inutiles, car ils reposent sur l’accès aux identifiants des sites web laissés accessibles.
Et tout comme la Chine, la Russie agit contre ces nouvelles technologies. Selon la proposition d’amendements, toute entreprise ou site web qui utilise la technologie pour cacher l’identifiant de site web dans un trafic chiffré sera interdit en Russie après un avertissement d’un jour.
La proposition de loi fait actuellement l’objet d’un débat ouvert et attend les réactions du public jusqu’au mois prochain, le 5 octobre.
Compte tenu des avantages stratégiques, politiques et de renseignement qui découlent de cet amendement à la loi, il est presque certain que l’amendement sera adopté.
Source : “ZDNet.com”
