Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Le Kazakhstan force les FAI à intercepter le trafic HTTPS de tous ses citoyens

Ahhhh cette belle période qu’est l’été … son soleil, ses plages, les gens qui déconnectent un peu et ses gouvernements qui passent des lois peu populaires discrètement. Si vous habitez au Kazakhstan, vous savez de quoi je parle !

Et si vous n’y habitez pas (il doit bien y en avoir quelques-uns parmi vous), laissez-moi vous expliquer.

Il y a quelques jours le gouvernement a tout simplement forcé les différents fournisseurs d’accès Internet du pays à rendre obligatoire pour tous leurs clients l’installation des certificats racines sur leurs appareils afin de pouvoir à nouveau accéder à Internet. Pas de certificat, pas de chocolat.

Certificat racine
Government approved

Et c’est plutôt hardcore. Car ces « certificats de confiance » permettent aux FAI d’intercepter et de surveiller les connexions chiffrées HTTPS (TLS) des utilisateurs, aidant ainsi le gouvernement à espionner ses propres citoyens et à censurer le contenu qu’il juge inapproprié. Ce n’est donc rien de moins qu’une attaque de l’homme du milieu ou man-in-the-middle attack (MITM)

Mais comment est-ce que ça fonctionne ? Et bien c’est simple. Habituellement vos appareils et navigateurs font appel à des tiers de confiance (appelés Autorités de Certification) qui ont leurs certificats racines installés sur votre machine et qui vous indiquent quel site est sécurisé ou non.

En s’imposant comme tiers de confiance (tu parles d’une confiance…) le gouvernement kazakh se donne le pouvoir de générer des certificats numériques valides pour tous les domaines qu’ils souhaitent surveiller à partir de votre trafic HTTPS.

L’info n’est pas nouvelle puisqu’ils avaient tenté une action similaire en 2016 (sans succès). De plus, les différents FAI annonçaient l’arrivée de cette loi à leurs abonnés depuis plusieurs mois donc pas vraiment de surprise pour la population. Ce qui est récent c’est qu’elle commence à entrer en vigueur depuis quelques jours. C’est Tele2, un des principaux fournisseurs du pays, qui a été le premier à rediriger toute connexion à un site HTTPS vers la page d’installation de ce fameux certificat de sécurité nationale (pour Windows, macOS, Android, et iOS). Les autres FAI devraient suivre sous peu.

Bien entendu comme à chaque fois c’est la carte de la sécurité qui est mise en avant. La mise en place de ce Big Brother kazakh fait suite je cite aux « cas fréquents de vol de données personnelles et de données d’identification, ainsi que de détournement d’argent sur des comptes bancaires du Kazakhstan« .

Prevention de la fraude

Déjà sur le principe c’est pas top, mais ce n’est pas mieux concernant la mise en place. En effet, comme les FAI expliquent à leurs abonnés comment installer un certificat tiers non officiels, cela pourrait exposer les personnes non techniques à des sites de phishing proposant d’effectuer la même opération mais à des fins d’escroquerie. Pas cool.

Et dans le « meilleur » des cas où le certificat kazakh est installé, cela offre aussi la possibilité aux FAI d’injecter des publicités ou des scripts de tracking sur toutes les pages Web visitées par les utilisateurs…

Encore un gouvernement qui a l’air d’avoir un pète au casaque.

Source


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Réponses notables

  1. En version courte, c’est simplement que lors de l’interception ils peuvent rechiffrer ton site avec leur propre certificat et donc voir en clair ce qui passe. Il fabrique un certificat . et rechiffre à la volée.

  2. Du coup, vu qu’il ne s’agit que d’un simple MITM, un passage par un VPN étranger devrait régler le problème, non?

  3. Effectivement, j’ai des connaissances qui doivent bientôt partir au Kazak pour quelques mois. Un abonnement à un bon VPN devrait régler le problème, non ? (j’espère)

  4. Pour la partie client du VPN, rien de plus simple (sous Linux et avec openVPN), un fichier et les login/password à leur envoyer et ils entrent ça dans leur gestionnaire de réseau. Ça prends 2 minutes à tout casser.

    Pour la partie serveur, Tonton nous à pondu un très bon tuto pour monter son propre VPN, mais il en existe aussi des payant… encore faut il faire confiance.

    Enfin, pour la partie détection de TOR et VPN, je pense que les deux peuvent se faire détecter, mais qu’un VPN avec une adresse « unique » passera plus discrètement.

    Pour conclure, pour les plus paranos, ça peut être une bonne idée, ne ne pas envoyer les fichier, login et password en clair.

  5. Avatar for Cyrus Cyrus says:

    J’ai passé 3 mois en Chine et ai installé un VPN à la maison en Europe selon les instructions de Korben. J’avais en moyenne internet 10 minutes par heure. Comme il faut faire enregistrer tous les tunnels VPN auprès des autorités chinoises, ils bloquent assez rapidement les connections quand ils voient quelque chose de suspect.

    Si le Kazakhs font la même chose, y’aura pas beaucoup d’alternatives…

  6. Faudrait essayer d’utiliser DSVPN (https://github.com/jedisct1/dsvpn) et peut être faire du chain VPN. L’utilisation d’un VPN standard est trop facilement détectable et sera simplement bloqué en effet.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants