La Russie impose sa propre autorité de certification TLS pour contourner les sanctions internationales
Une démarche judicieuse, ou une catastrophe potentielle ?
La Russie a constitué une nouvelle autorité de certification (CA) TLS de confiance nationale, ce pour aider les sites russes à renouveler leurs certificats TLS et continuer à fournir des services auprès de leurs visiteurs.
Avant l'invasion de l'Ukraine, les sites web basés en Russie dépendaient d’autorités internationales pour renouveler leurs certificats TLS. Toutefois, le conflit russo-ukrainien ayant entraîné de lourdes sanctions, les autorités en question n’acceptent plus les paiements russes… et donc renouveler les certificats.
Si le certificat d'un site web expire, le navigateur affiche une alerte indiquant que la page visitée n'est pas sécurisée. Pour contourner ce problème, les autorités russes ont instauré une autorité de certification nationale.
Deux navigateurs reconnaissent aujourd’hui l’autorité de certification russe
"Elle remplacera le certificat de sécurité étranger s'il est révoqué ou expiré", peut-on lire dans une traduction approximative de l'annonce publiée sur Gosuslugi, le portail des services publics russes. "Le ministère du développement numérique fournira un analogue national gratuit. Le service est fourni aux entités juridiques - propriétaires de sites sur demande dans un délai de 5 jours ouvrables".
Tout cela ne s’avère pas aussi simple qu'il n'y paraît. Une autorité de certification doit avoir la confiance des navigateurs web, et pour y parvenir, elle doit être contrôlée par "diverses entreprises", comme le rappelle BleepingComputer. Bien évidemment, cela ne peut pas se faire du jour au lendemain.
En l'état actuel des choses, seuls deux navigateurs web reconnaissent la nouvelle autorité de certification comme digne de confiance : Yandex, et Atom. Le premier est basé en Russie, tandis que le second est open-source. Jusqu'à présent, la Sberbank, la VTB et la Banque centrale russe ont reçu ces nouveaux certificats, indique la publication.
Quelque 200 domaines ont été informés de l'existence du nouveau certificat TLS. Mais comme il n'a pas été rendu obligatoire, on ne sait pas combien de temps il faudra aux entreprises pour l'adopter, ni combien décideront de le supporter pour commencer.
Etes-vous un expert ? Abonnez-vous à notre newsletter
Inscrivez-vous à la newsletter TechRadar Pro pour recevoir toutes les actualités, les opinions, les analyses et les astuces dont votre entreprise a besoin pour réussir !
Les sanctions qui ont suivi l'invasion de l'Ukraine par la Russie pèsent sur l'économie de cette dernière. De nombreux services, tels que PayPal, Visa, Mastercard ou même SWIFT, sont indisponibles dans le pays, tandis que la plupart des distributeurs occidentaux, tels que Microsoft, Apple, Google, McDonald's, Coca-Cola et bien d'autres, se sont retirés.
Pour les experts de la société de cybersécurité Venafi, la mise en place de la nouvelle CA russe pourrait créer un point de défaillance unique catastrophique pour les entités russes. Ils considèrent cette autorité de certification comme une "attaque claire contre la vie privée et la liberté en ligne", car elle donne au gouvernement russe le pouvoir d'espionner ses citoyens et d'usurper tout service internet occidental.
"Tout cela ne devrait pas nous surprendre", déclare Kevin Bocek, stratège en chef de la sécurité chez Venafi.
"C'est une nouvelle escalade dans le conflit contre un Internet ouvert et une expansion du contrôle sur les citoyens. La Russie s’isole hors de l'économie mondiale et réduit les espoirs de croissance économique pour les générations actuelles et futures de citoyens russes".
"On peut supposer, sans risque de se tromper, que cette nouvelle autorité de certification constituera une cible privilégiée des Anonymous et des autres groupes qui mènent actuellement des cyberattaques contre les entités russes", ajoute Pratik Selva, ingénieur en sécurité chez Venafi. "Contrairement au reste du monde, les sites et les infrastructures russes, qu'ils soient gouvernementaux ou privés, n'ont pas de CA, donc si celle-ci tombe en panne ou est compromise, chaque site web associé sera déconnecté d'Internet. Jusqu'à ce qu'une nouvelle CA soit créée et que de nouveaux certificats puissent être émis".
- Meilleurs navigateurs web avec un VPN intégré : visitez tous les sites du monde en toute sécurité
- Meilleurs antivirus 2022 : quelle solution choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN
Via BleepingComputer
Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.