La Russie veut interdire l'utilisation de protocoles sécurisés masquant la destination du trafic et pouvant entraver ses capacités de surveillance et de censure, tels que TLS 1.3, DoH, DoT, ESNI, écrit ZDNet.
Les responsables moscovites ne cherchent pas pour autant à interdire HTTPS et les communications chiffrées dans leur ensemble, car ils sont essentiels à la sécurité des transactions financières, communications, infrastructures militaires et critiques modernes.
Mais plutôt empêcher l'utilisation de protocoles Internet cachant « le nom (identifiant) d'une page Web » à l'intérieur du trafic HTTPS. Avec l'adoption de TLS 1.3, DoH, DoT et ESNI, les outils de surveillance et de censure utilisés par la Russie deviendraient en effet inutiles.
Le projet de loi fait actuellement l'objet d'un débat public et attend les commentaires du public jusqu'au mois prochain, le 5 octobre. Mais compte tenu des avantages stratégiques, politiques et de renseignement qui découlent de cet amendement à la loi, estime ZDNet, il est presque certain qu'il sera adopté.
Commentaires (26)
#1
Ça va inspirer nos élites.
#2
A propos des russes et en complément de l’article NXI du juin dernier https://www.nextinpact.com/article/30338/109064-les-poupees-russes-desinformation-a-travers-medias-alternatifs-francais voir l’excellent docu HBO Agents of Chaos sur l’ingérence russe dans les élections américaines.
https://www.youtube.com/watch?v=M-OA7H8DoJM
#3
“Le projet de loi fait actuellement l’objet d’un débat public et attend les commentaires du public jusqu’au mois prochain”
Il attend rien du tout, la Russie étant un pays autoritaire, c’est Poutine qui décide.
#3.1
L’un n’empêche pas l’autre et permet au contraire d’avoir l’air démocratique à peu de frais. On attend des commentaires dont on ne tiendra pas compte et, encore mieux, on aura obtenu une liste de ceux qui ont exprimé un commentaire défavorable.
#3.2
Yep, c’est de l’image quoi, comme dans toutes autocratie.
#3.4
Oui, comme à l’assemblée nationale en France sous la 5ème république
#3.3
Il attend les commentaires du public, comprendre : “cause toujours, tu m’intéresse”
#4
coming soon in theaters near you
#5
Certains visiblement ne savent pas ce qu’est une dictature…
#6
Intéressant, ça donne une idée des outils à mettre en place au plus vite. Et un bon contre-exemple de la voie à ne pas suivre. Quand nos chers élu voudront (veulent ?) nous faire la même, ça va gueuler dans les chaumières, la Russie et ses mesures feront un bon épouvantail.
#7
Dictature : “fermes ta gueule”
Démocratie : “Causes toujours”
J’ai bon ?
#7.1
#8
Si la France serait comme la Russie, Plenel serait en prison.
N’importe quoi toi, tu confonds l’image publiques avec une fausse démocratie.
#9
Outre le fait que la Russie a son propre mode de fonctionnement, ça n’inquiète personne que la nation qui dispose (officieusement) des hackers les plus sérieux demande à supprimer des protocoles de sécurité ?
#10
Ça me rappelle qu’il faut toujours que j’intègre un client DoH et DoT dans AdAway pour une meilleure vie privée de mes utilisateurs ^^”
#11
C’est très bon ça : ils nous donnent la liste des protocoles à utiliser pour échapper à leur surveillance !
#12
ESNI a l’air d’emmerder un paquet de monde, c’est bloqué en Chine aussi
#13
Le projet de loi fait actuellement l’objet d’un grand débat
#14
Si, il attend les opposants un peu nigauds qui oseraient émettre un avis défavorable…
#15
Baaah un peu quand même, vu que le “S” du HTTPS est pris en charge justement par le TLS/SSL, et qu’ils veulent interdire le TLS et que le SSL n’est plus sûr.
https://fr.wikipedia.org/wiki/Suite_des_protocoles_Internet?wprov=sfla1
#15.1
bien lire la news : c’est TLS 1.3 qu’ils veulent interdire.
il y en a plusieurs version.
donc non pas d’interdiction du HTTPS.
#16
Bah le prochain projet de loi est l’obligation de donner les clefs privées pour tout serveurs sur le sol russe
#17
C’est plus fourbe que ça.
TLS 1.1 et TLS 1.0 sont obsolète. Si TLS 1.3 est interdit cela fera qu’il ne restera plus que TLS 1.2. Pour l’instant le protocole TLS 1.2 est robuste mais il y’a à priori pas de raison de penser que cela restera éternelement le cas. Donc il y’aura du HTTPS mais un HTTPS qui reposera sur un protocole TLS qui deviendra surement vulnérable aux interceptions à terme.
Les utilisateurs vont se sentir protégés mais il n’en sera rien. C’est pas interdit certe mais cela rendra la protéction complètement caduque…
#18
C’est quand les gens sont communistes déjà. Qu’ils ont froid, qu’ils portent des chapeaux gris et des chaussures à fermeture éclair.
#19
Il y a du vrai et du moins vrai là-dedans.
C’est moins la version du protocole qui effectue en pratique la sécurité que les suites de chiffrement (induites & différentes en fonction de la version du protocole).
On peut tout à fait faire du TLS v1.2 non-sécurisé avec des suites de chiffrement faibles.
À l’opposé, TLS v1.3 a retiré bon nombre de catégories de suites connues comme faibles/non-sécurisées car se basant sur des algorithmes démontrés comme tel.
Le TLS sauce moscovite ne sera donc officiellement plus qu’un faux-semblant, et il y a de fortes chances qu’il y ait une obligation de configurer certaines suites plutôt que d’autres.
Cette obligation n’étant pas présente dans le texte de loi, cela pourra être une obligation “en pratique”, officieuse, sous la contrainte cachée; il est illusoire de croire qu’ils laisseront un TLS v1.2 robuste opérer car l’intention est bien d’intercepter son contenu… dont la protection est la raison d’être de TLS.
Dans ce cas, TLS v1.3 pourrait continuer à être autorisé. Cela ne semble donc pas faisable pour les autorités moscovites.
TLS sécurise la communication entre 2 extrémités et protége le transit. Si l’extrémité est compromise, ce n’est plus un bon protocole pour la confidentialité…
Novichok ?
Pour rappel, le “débat public” dans un régime autoritaire se pare de tous les attributs d’un vrai débat, histoire de conserver la face auprès de la communauté internationale afin d’éviter les sanctions & bénéficier du déni plausible quant aux accusations de priver sa population de libertés.
Ça semble évident, dit comme ça, mais certains semblent confondre apparences & fond.
#20
Edit: En fait non, je crois que j’ai raconté de la merde