Le ministère russe du développement numérique a annoncé qu’ils avaient créé une autorité de certification (Certification Authority CA) pour les certificats TLS. Ils veulent ainsi s’assurer que les visiteurs puissent continuer à consulter les sites russes malgré les sanctions. Mais l’Etat pourrait aussi en abuser pour mettre en place une surveillance généralisée.
Les certificats TLS garantissent que les navigateurs web et les serveurs communiquent via une connexion HTTPS sécurisée et cryptée. Cette procédure doit permettre de garantir l’identité d’un serveur, mais aussi l’intégrité des données. La transmission de données bancaires, par exemple, est ainsi sécurisée.
Sommaire
Certificats TLS d’État
Or, en raison des sanctions, il pourrait arriver que la Russie ne puisse plus payer les certificats TLS émis par d’autres autorités de certification et que ceux-ci expirent. De plus, les CA pourraient annuler des certificats, comme le fait actuellement Thawte avec les banques russes.. Dans les deux cas, les navigateurs Web tels que Chrome et Firefox affichent des avertissements indiquant que la visite du site n’est pas sécurisée et que les données sont transmises sans être cryptées. Cela dissuade de nombreuses personnes de visiter le site. Cela peut même aller jusqu’à rendre certains sites inaccessibles.
Lire aussi
Pour contrer cette situation, la Russie délivre désormais ses propres certificats racine. Les personnes morales peuvent désormais y avoir recours gratuitement, écrit le ministère du Développement numérique. Selon les médias, de nombreux sites web russes utiliseraient ce certificat, mais son utilisation ne serait pas encore obligatoire.
Pour que le navigateur Web et le serveur puissent établir une connexion sécurisée, le certificat racine doit être classé comme fiable et enregistré dans le navigateur. Or, ce processus prend du temps et entraîne de nombreuses vérifications de la part de plusieurs parties. Au vu de la situation actuelle, on peut supposer que le certificat racine n’obtiendra pas ce statut dans un avenir proche. Actuellement, ce n’est le cas que pour le navigateur Yandex de l’exploitant russe du moteur de recherche et le navigateur Atom. Les utilisateurs d’autres navigateurs peuvent l’installer manuellement.
La peur de l’espionnage
Sur le forum Mozilla, il y a une discussion selon laquelle la Russie, en tant que titulaire du certificat, pourrait s’introduire dans les connexions en tant que Man-in-the-Middle et les écouter. D’un point de vue technique, c’est possible, mais il n’existe actuellement aucune preuve à ce sujet.