[MAJ] Russie : préinstallation obligatoire du magasin d’appli RuStore sur les smartphones

Le « goulag numérique » avance

[MAJ] Russie : préinstallation obligatoire du magasin d’appli RuStore sur les smartphones

Roskomnadzor, le régulateur russe d'internet et des médias, a annoncé la restriction « partielle » des appels via Telegram et WhatsApp sur son territoire sous prétexte de lutte contre la criminalité. En parallèle, l'entreprise russe VK a lancé une nouvelle messagerie nommée Max qui, elle, n'est pas concernée.

Le 22 août 2025 à 10h00

Commentaires (45)

votre avatar
C'est toujours intéressant de voir comment ça se passe dans ces pays là, sachant qu'en France (voire même en Europe) ça nous pend au nez...
votre avatar
Ca nous pend au nez comment ? Par qui ? Je veux bien que la France ne soit pas toute blanche, mais là, on parle de la Russie qui impose une app pour espionner sans même s'en cacher. On n'en est pas là en France, encore moins en Europe... Il ne faut pas exagérer (sauf si je me trompe et dans ce cas, n'hésite pas à partager tes sources, je suis vraiment curieux de voir cela).
votre avatar
votre avatar
Je ne crois pas avoir (re)vu de news sur next sur la relance de ce projet cet été (j'ai pas recherché non plus hein).
Donc merci à toi et à @lithium d'avoir remonté ici cette (triste) nouvelle.
votre avatar
Non après on peut quand même se rappeler de SSF (la version française castrée de SSH) qui avait pour but de rendre toute communication chiffrée facilement lisible jusqu'en 2001 où le législateur a abandonné cette connerie.
votre avatar
"Chat Control"
https://korben.info/chat-control-europe-scan-messages.html
votre avatar
Ah, parce que l'occident n'a jamais espionné illégalement des citoyens (quel que soit le moyen de communication, pas besoin d'imposer une app pour ça), en masse et les dirigeants/gouvernements n'en ont jamais ouvertement émis le souhait de l'intégrer légalement, de laisser des backdoor, etc ? Tout en se parant de draps d'or sur lesquels sont écrits démocratie et justice ?

Le dogmatisme de certains m'étonnera toujours... Deux philosophies différentes à l'Est et à L'Ouest certes, mais aux finalités n'étant pas diamétralement opposées !

Et pendant que les uns et les autres font du spectacle devant les caméras à faire croire qu'ils résolvent des problèmes qu'ils ont eux-même créé, les gueux continuent d'en prendre pour leur grade.
votre avatar
C'est ballot.
Les truands russes ne pourront plus utiliser ces applications pour arnaquer le reste du monde. :mdr2:
votre avatar
Les truands russes financés par le Kremlin ne sont pas concernés par cette interdiction :windu:
votre avatar
Il est tant que chaque citoyen se prenne en main et apprenne comment fonctionne GPG. Qui permet d'utiliser n'importe quel moyen de transfert, du simple email à des messages posté dans une blockchain, en passant par Tor, aucune importance.

Il n'y a pas de secret, securité et facilité, ca n'existe pas. Chacun doit comprendre comment ça fonctionne. Sans ca, nous serons toujours à la merci d'autrui en utilisant un produit "tout en un" et ses limites inhérente.

Ici, GPG over Whatsapp. WhatsApp est bloqué, bah alors GPG over VK, GPG over Max, GPG over email, GPG over RCS, GPG over MMS, ...
votre avatar
GPG permet de protéger les appels audio et vidéo ?
Et comment ça ?
votre avatar
GPG permet de protéger les appels audio et vidéo ? Et comment ça ?
Tu t'enregistres à blablater, tu chiffres la vidéo avec PGP, tu l'envoies :D

Ça permettra de s'habituer aux échanges différés à cause de la latence quand on aura colonisé l'espace !
votre avatar
Exactement, merci de l’avoir précisé.
votre avatar
Vers l'espace... ?
Paye ton bit ! :eeek2:
votre avatar
Malheureusement ça ne protège pas les metadatas 🤔
Sinon l'idée est intéressante, mais la voie du moindre effort risque d'empêcher ça
votre avatar
Tu post dans une blockchain à travers Tor et t’as résolu les problème de metadata.
votre avatar
Vous parlez des monuments funéraires en granit? https://www.gpggranit.com/
:kimouss:
votre avatar
C'est quoi encore ce commentaire décousu qui confond les outils et mélange les problèmes ?

Faut retourner devant le Club Do au lieu de dire des bêtises :smack:
votre avatar
C’est totalement en adéquation avec le sujet. Pour s’échanger des messages en GPG, n’importe quel support fait l’affaire. Tu peux même envoyer du courrier papier ou un fax en GPG.

Le gouvernement russe bloque telegram et WhatsApp, les gens sont perdu. En GPG, c’est très simple de trouver un autre moyen.
votre avatar
PGP est complètement obsolète pour protéger les communications puisque il ne propose pas la confidentialité persistante, raison pour laquelle PGP est essentiellement utilisé pour signer des documents de nos jours (un peu utilisé également pour signer des commits ou des clés de d'autres utilisateurs).
Il vaut mieux utiliser Signal ou tout équivalent pour ce genre de chose.

"Chacun doit comprendre comment ça fonctionne. Sans ca, nous serons toujours à la merci d'autrui en utilisant un produit "tout en un" et ses limites inhérente"
Bon alors si chacun doit comprendre tu élimines à peu près tout le marché de la communication numérique, et je ne vois pas comment ne pas utiliser un produit sans être "à la merci d'autrui" à moins que chacun développe sa propre implémentation.

"des messages postés dans une blockchain"
de quoi parles-tu ?

En ce qui concerne PGP pour le RCS/MMS j'aimerais bien que tu nous précises quelle implémentation le permet parce que je n'en ai jamais entendu parler (et c'est accessoirement complètement con comme approche).

Bref, tout cela nous montre bien qu'il vaut mieux arrêter le hakik.
votre avatar
Utiliser signal ne résout pas le problème de base. La Russie bloquera signal comme elle le fait pour WhatsApp et telegram.

Oui, ce que je dis parait ridicule pcq tout le monde s’en fou et je sais très bien que personne ne le fera, tant pis. Il n’empêche que sur le fond, j’ai raison.

Si je veux t’écrire à toi mais que tu ne veux pas qu’on sache ni quand tu va lire le message, ni depuis quelle IP, j’écris un message, GPG avec sortie en base64, dans le champ texte d’une transaction. Tout le monde recevra le message, dont toi. Impossible de remonter la trace jusqu’à toi.

RCS/MMS c’est pareil. J’écris mon message, GPG en base64 et je t’envoie le message chiffré. De ton côté tu décode avec ta clé privée et voilà.
votre avatar
Corrige-moi si je me trompe. La confidentialité persistance provient du fait que lors de l'établissement d'une session de communication (TLS, Signal...) une paire de clé de session entre également en jeu afin de garantir la confidentialité de l'échange même si les clés d'une des deux parties sont compromises.

Comme PGP n'inclut pas cette notion de session (car indépendant du canal de communication), cette confidentialité persistance disparaît, c'est bien ça ?
votre avatar
C'est ça, l'objectif est de protéger la confidentialité des échanges passés en cas de compromission des clés de session. En pgp si la clé de chiffrement est compromise tous les échanges effectués jusqu'à lors seront compromis.
Tout cela dans un contexte mitm évidemment.
votre avatar
Tout cela dans un contexte mitm évidemment.
Bien que PGP ne soit pas vraiment fait pour de l'échange synchrone, plutôt asynchrone, j'avoue que je me demande comment une attaque MITM permettrait de voler la clé RSA permettant de déchiffrer la clé AES256 interne.

PGP chiffre la donnée avec une clé AES256 (par défaut) générée aléatoirement, et c'est elle qui est chiffrée avec la partie publique de la clé RSA. Le déchiffrement via la clé privée sert principalement à récupérer la valeur de la AES256 pour pouvoir lire la donnée réelle (raison pour laquelle une clé RSA 4096 en PGP a peu de sens par rapport à une longueur de 2048). J'omet volontairement la partie signature.

Pour compromette un échange chiffré en PGP il faut donc avoir volé la clé privée du destinataire et son éventuelle passphrase. Ce qui me laisse à croire que ça se fait surtout en cas de compromission du client récepteur. Je ne suis pas expert en sécu IT, mais ici on est plus dans un schéma d'attaque du côté du client qu'un MITM qui arrive à récupérer des infos lors du transport pouvant compromettre la confidentialité immédiate de l'échange (comme le cas des proxy qui déchiffrent le trafic HTTPS en filant leur propre root CA au client). À quoi ressemblerait le schéma d'attaque MITM pour un échange chiffré via PGP ? Ça m'intéresse pour la culture :)

Pour la notion de persistance de la confidentialité, oui, en effet, une fois la clé privée obtenue, tout ce qui aura été chiffré avec sa partie publique est compromis.
votre avatar
Et pourtant c'est bien le cas, la confidentialité persistente n'a qu'un seul usage : protéger les conversations passées en cas de compromission d'une des clés privées (ex : DH en tls et ssh, signal/whatsapp, wireguard etc.).
Il faut imaginer que tu peux te trouver durablement dans un environnement où le réseau est écouté passivement avec un tap (réseau public, d'entreprise, enregistrement par un gouvernement etc.) ce que j'inclus dans la notion mitm mais effectivement ça ne peut pas protéger contre un mitm actif (proxy transparent avec réécriture tls).

Donc en résumé en PGP si ton terminal est saisi avec ta clé privée tous les échanges passés interceptés sont déchiffrables. En DH, whatsapp/signal, wireguard et sûrement d'autres, même avec la clé privée ce ne serait pas possible.
votre avatar
Dans une vie antérieure, j'ai bossé dans un coin où certains des échanges d'emails ne pouvait se faire qu'avec PGP.

Et environ tout les 3 mois, nous devions renouveler nos clés PGP et détruire les anciennes. Est-ce que ce genre de pratique peut-être considérée comme un ersatz de confidentialité persistante ?
votre avatar
Si tu parles des sous-clés de chiffrement oui effectivement on peut le considérer ainsi.
votre avatar
Et environ tout les 3 mois, nous devions renouveler nos clés PGP et détruire les anciennes. Est-ce que ce genre de pratique peut-être considérée comme un ersatz de confidentialité persistante ?
PGP a beau avoir un mécanisme de révocation (via la génération d'un certificat), si la clé RSA privée est volée elle restera utilisable à ma connaissance. Je doute que l'attaquant s'amuse à synchroniser depuis les annuaires GPG dans lesquels on peut publier l'annonce de révocation.

Il lui manque ce mécanisme de "synchro" comme on a avec les CRL sur les certificats TLS par exemple.

Il me semble qu'une clé publique expirée ne peut plus être utilisée pour chiffrer, mais une clé privée peut continuer de déchiffrer.
votre avatar
Et si la clé privée est détruite avant d'être volée, les e-mails précédemment chiffrés sont indéchiffrable en temps raisonnable. C'était ceci le mécanisme de sécurité.

Si l'attaquant dispose de la clé privée, tu as besoin de sa clé publique pour déchiffrer le message. Cette clé est récupérée les annuaires. Donc si l'annuaire t'informe que la clé est révoquée, bah tu peux commencer à te poser des questions.

PS : Oublie le RSA et favorise les courbes elliptiques.
votre avatar
Si l'attaquant dispose de la clé privée, tu as besoin de sa clé publique pour déchiffrer le message.
Euh non, c'est la clé privée qui sert à déchiffrer et la publique sert à chiffrer. Et il est difficile de savoir à quel moment la privée se serait faite voler à moins d'avoir un très bon audit sur leur usage. Le renouvellement régulier reste une bonne pratique, mais il reste une surface d'attaque sur la période où le couple de clés publiques/privées ont été utilisées pour chiffrer.
Après, une passphrase reste essentielle dans tous les cas pour restreindre le risque qu'elle soit utilisable en cas de vol.
PS : Oublie le RSA et favorise les courbes elliptiques.
C'est juste un abus de langage de ma part par habitude pour parler de chiffrement asymétrique.
votre avatar
Yep, my bad. Je me suis embrouillée dans ma phrase sur privé/public. Merci de l'avoir relevé !
votre avatar
Wiregard post qantum, c'est bien aussi... Tant qu'on a la main dessus et qu'on limite les accès à un cercle de confiance, pour du self-hosted.
votre avatar
La licence de Max est connue ?
C'est opensource ? si oui on pourrait dire qu'il est libre Max :pastaper:
votre avatar
Max, une appli chiffrée de bout en bout, de l'utilisateur au FSB.
votre avatar
C'est exactement ce que voulait faire notre ministre de l'intérieur : les messages chiffrés qui allaient aussi vers les forces de l'ordre.
votre avatar
D'un autre côté, une idée turbo débile sortant du cerveau de Darmanin ou Retailleau, il y en a encore que ça surprend ?
votre avatar
Si c'étaient seulement ces 2 là. Les polices d'à peu près tous les pays rêvent d'accéder aux échanges chiffrés des malfaiteurs. Il n'y a qu'à voir leur lobbying régulier auprès des parlementaires tant nationaux que de l'UE.
votre avatar
Le pire, c'est que ça ne changera pas grand chose pour les vrais méchants...
votre avatar
Heureusement qu'il y a des contre pouvoirs (à condition qu'on ne soit pas prêts à les balancer pour satisfaire des envies populistes).
votre avatar
En Europe on va avoir pire avec "Chat Control"

https://korben.info/chat-control-europe-scan-messages.html
votre avatar
Ils n'ont qu'à utiliser chatroulette pour les échanges vidéo.
NA.
votre avatar
Est-ce que ça pend au nez des touristes qui séjournent en Russie, à plus ou moins long terme ?
votre avatar
Alors je ne sais pas ce que vous entendez par "touristes qui séjournent en Russie". Des personnes n'y allant que pour les vacances sur une courte durée ? Où qui s'installent pour une durée plus longue ?

Sinon il y a cet article disponible sur next : next.ink Next concernant une application de géolocalisation obligatoire "Les migrants séjournant temporairement dans la Fédération de Russie".
votre avatar
Je vais me faire l'avocat du diable : au moins ils font quelque chose pour sortir de la domination numérique américaine !..
votre avatar
Bref, les Russes mettent en place la souveraineté numérique pour empêcher les étrangers d’interagir avec des opposants ou des résistants au régime, tandis que l’UE a mis fin à la diffusion des chaînes russes d’information par satellite au début de la guerre. Ce qui se prépare n’est pas réjouissant, comme si les jeunes de ces pays n’avaient pas d’autres choses à faire que de s’entretuer

[MAJ] Russie : préinstallation obligatoire du magasin d’appli RuStore sur les smartphones

  • WhatsApp affiche sa volonté de protéger le chiffrement, Telegram dit lutter contre la fraude

  • Max, la nouvelle application russe obligatoire dès le 1er septembre sur les nouveaux appareils

Fermer