Google et Mozilla ont annoncé aujourd’hui, séparément, qu’elles bloquaient le nouveau faux certificat SSL racine créé par le gouvernement du Kazakhstan, et que ce dernier a forcé tous ses citoyens à installer, en obligeant les fournisseurs d’accès à internet à conditionner l’accès à l’installation du certificat sur ordinateur, ordiphone, tablette, etc.
Comme les navigateurs web font confiance aux certificats installés localement, ce certificat permet au gouvernement de contrôler et d’intercepter tout trafic, même chiffré par https, notamment, mais pas exclusivement de et vers Facebook et Twitter, et d’effectuer des attaques de l’homme du milieu.
Ce n’est pas la première fois que le Kazakhstan a recours à ce type de manigances : en 2015, il avait déjà tenté de faire installer son certificat dans la liste des certificats de confiance de Mozilla, ce que l’entreprise refusa.
Il est fort probable que les autres navigateurs web vont également bloquer le nouveau certificat.
Les plus curieux pourront lire, en anglais, une analyse détaillée de l’interception https du Kazakhstan par les universités du Michigan et de Colorado Boulder.