Une attaque au Kazakhstan sur l’ensemble du trafic HTTPS a été détectée et reportée sur le site de Mozilla. Attaque toujours en cours.

8 août. Edit : depuis mardi 6 août, le certificat du gouvernement n’est plus nécessaire pour accéder à Internet. Les autorités Kazakhes ont présenté cette expérience comme « un test ». Source : Reuters, Kazakhstan halts introduction of internet surveillance system.

19 juillet. Au Kazakhstan Les citoyens sont invités à installer les certificats fournis par leur gouvernement sur leurs appareils. qca.kz, un site appartenant gouvernement kazakh affiche en ce moment le message suivant : Installation du certificat de confiance « Qaznet ».

Beeline, principal fournisseur d’Internet et et de 4G au Kazakhstan a rédigé une page pour ses clients dont voici la traduction :

Chers clients! Conformément à la loi sur la communication, pour accéder à Internet, vous devez installer un certificat de sécurité. Nous vous demandons d’installer sur chaque appareil abonné disposant d’un accès Internet (smartphone, tablette, ordinateur portable, etc.). L’absence de certificat de sécurité sur le périphérique peut limiter l’accès à certaines ressources Internet.

Avec en dessous les tutoriels d’installation pour Android, Iphone, et autres :

<figcaption>Source: https://www.beeline.kz/almaty/customers/mobile/tariffs-alternative?alias=sert&_branch_match_id=513187007138400648&utm_expid=.QpKY5RSNTgK_tVLy52ru-g.1&utm_referrer=</figcaption>

Bélize utilise une méthode plus agressive et envoie des messages PUSH SMS chez différent opérateurs de téléphonie mobile ciblant que la capitale (Astana):

Nous pouvons constater l’effet de l’attaque ci-dessous : le certificat aimablement fourni par le gouvernement Kazakh remplace bien celui de Facebook.

Le projet ATLAS montre l’attaque en cours.

Pour rappel, ce type d’attaque appelée attaque Man In The Middle (MITM, homme du milieu) permet ici d’intercepter toute les communications HTTPS qui sont normalement chiffrées de bout en bout et de confiance avec un site (Facebook, Google, etc.). Comme les utilisateurs n’utilisent plus les certificats d’origine fournis par les sites mais ceux fournis par le gouvernement, celui-ci peut lire et déchiffrer leur trafic web et donc voir l’activité des utilisateurs sur Facebook, injecter du contenu en temps réel sur les page visité et collecter un maximum d’information le temps de l’attaque.

Il y a pas grand chose à faire contre ce genre d’attaque si ce n’est sensibiliser votre entourage. Cette attaque est basée sur la méconnaissance d’Internet et la confiance des citoyens en leur gouvernement ou fournisseur d’accès. Conseillez l’utilisation de VPN ou Tor. Google a dû blacklister les certificats assez rapidement grâce a leur outils « Certificate Transparency » qui traque les problèmes de certificats.

UPDATE: ce 21 Août, Apple, Google et Mozilla ont (enfin) décidé de bloquer le certificat SSL permettant au gouvernement du Kazakhstan d’intercepter le trafic. Ce certificat est désormais banni dans les navigateurs Chrome, Firefox et Safari. Source : ZDnet.