Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Le Kazakhstan force les FAI à intercepter le trafic HTTPS de tous ses citoyens

Ahhhh cette belle période qu’est l’été … son soleil, ses plages, les gens qui déconnectent un peu et ses gouvernements qui passent des lois peu populaires discrètement. Si vous habitez au Kazakhstan, vous savez de quoi je parle !

Et si vous n’y habitez pas (il doit bien y en avoir quelques-uns parmi vous), laissez-moi vous expliquer.

Il y a quelques jours le gouvernement a tout simplement forcé les différents fournisseurs d’accès Internet du pays à rendre obligatoire pour tous leurs clients l’installation des certificats racines sur leurs appareils afin de pouvoir à nouveau accéder à Internet. Pas de certificat, pas de chocolat.

Certificat racine
Government approved

Et c’est plutôt hardcore. Car ces « certificats de confiance » permettent aux FAI d’intercepter et de surveiller les connexions chiffrées HTTPS (TLS) des utilisateurs, aidant ainsi le gouvernement à espionner ses propres citoyens et à censurer le contenu qu’il juge inapproprié. Ce n’est donc rien de moins qu’une attaque de l’homme du milieu ou man-in-the-middle attack (MITM)

Mais comment est-ce que ça fonctionne ? Et bien c’est simple. Habituellement vos appareils et navigateurs font appel à des tiers de confiance (appelés Autorités de Certification) qui ont leurs certificats racines installés sur votre machine et qui vous indiquent quel site est sécurisé ou non.

En s’imposant comme tiers de confiance (tu parles d’une confiance…) le gouvernement kazakh se donne le pouvoir de générer des certificats numériques valides pour tous les domaines qu’ils souhaitent surveiller à partir de votre trafic HTTPS.

L’info n’est pas nouvelle puisqu’ils avaient tenté une action similaire en 2016 (sans succès). De plus, les différents FAI annonçaient l’arrivée de cette loi à leurs abonnés depuis plusieurs mois donc pas vraiment de surprise pour la population. Ce qui est récent c’est qu’elle commence à entrer en vigueur depuis quelques jours. C’est Tele2, un des principaux fournisseurs du pays, qui a été le premier à rediriger toute connexion à un site HTTPS vers la page d’installation de ce fameux certificat de sécurité nationale (pour Windows, macOS, Android, et iOS). Les autres FAI devraient suivre sous peu.

Bien entendu comme à chaque fois c’est la carte de la sécurité qui est mise en avant. La mise en place de ce Big Brother kazakh fait suite je cite aux « cas fréquents de vol de données personnelles et de données d’identification, ainsi que de détournement d’argent sur des comptes bancaires du Kazakhstan« .

Prevention de la fraude

Déjà sur le principe c’est pas top, mais ce n’est pas mieux concernant la mise en place. En effet, comme les FAI expliquent à leurs abonnés comment installer un certificat tiers non officiels, cela pourrait exposer les personnes non techniques à des sites de phishing proposant d’effectuer la même opération mais à des fins d’escroquerie. Pas cool.

Et dans le « meilleur » des cas où le certificat kazakh est installé, cela offre aussi la possibilité aux FAI d’injecter des publicités ou des scripts de tracking sur toutes les pages Web visitées par les utilisateurs…

Encore un gouvernement qui a l’air d’avoir un pète au casaque.

Source



Surfshark : dévorez le Black Friday à pleines dents [bon plan]

— Article en partenariat avec Surfshark —

Aujourd’hui je vous partage un très bon plan à l’occasion du Black Friday qui arrive sous peu. En effet le fournisseur de VPN Surfshark s’est fendu d’une offre défiant pas mal de concurrents avec une réduction de 83% + 3 mois offerts. Vous payerez donc moins de 2.3€/mois durant 27 mois, TVA incluse, imbattable (ou pas loin) ! L’offre est temporaire donc pour sécuriser votre surf à moindres frais ne tardez pas !

Faisons un petit tour de l’outil pour les petits nouveaux qui ne connaissent pas encore Surfshark. Il s’agit tout simplement de l’un des VPN les plus solides du marché à l’heure actuelle. Pas forcément celui qui vient à l’esprit tout de suite, mais un outsider aux dents aiguisées qui commence à faire parler de lui en bien, et cela autant pour ses fonctionnalités que sa fiabilité.

Interface Surfshark

Le débit en download comme en upload est dans la moyenne des autres gros VPN du marché, ce qui vous permettra de streamer vos catalogues Netflix sans trop de soucis.

Surfshark possède actuellement autour des 3200 serveurs répartit dans 65 pays, chacun disposant de DNS privé et adapté au P2P. C’est moins que d’autres services établis depuis des années, mais la liste s’allonge plutôt vite (plus de 1000 ajouts rien que sur l’année en cours). À ce rythme il n’y aura plus de différence très bientôt.

Par défaut le protocole utilisé sera IKEv2/IPsec (que vous pouvez le modifier pour OpenVPN ou WireGuard si vous préférez). Niveau petit plus il propose également une fonctionnalité, nommée MultiHop, qui permet de se connecter via plusieurs pays afin d’augmenter la confidentialité et la sécurité. Il s’agit d’une option de double VPN, ce qui se ressentira forcément un peu sur la vitesse de connexion.

Surfshark IKEv2/IPsec

Je pourrai encore citer le bouton Kill Switch, le mode camouflage (qui brouille les pistes même pour votre FAI), le chiffrage des données via l’algorithme AES-256-GCM ou encore un système de liste blanche (split tunneling). Cette dernière est plutôt pratique pour les sites et applications qui ne supportent pas les connexions VPN (les applis bancaires par exemple), vous pourrez malgré tout vous y connecter sans avoir à couper/remettre en marche le VPN.

À ne pas négliger, l’interface assez minimaliste et très simple à prendre en main. Si vous n’êtes pas trop geek et/ou que c’est le premier outil du genre que vous utilisez, foncez ! C’est super simple.

Le MultiHop de Surfshark

Est-ce que je vous ai dit que l’offre vous permet en plus de connecter un nombre illimité d’appareils et sans limites de bandes passantes ? Que toutes les plateformes sont supportées (macOS, Linux, Windows, Android, iOS, FireTV, Apple TV, Chrome, Firefox, PlayStation …) ? Qu’il dispose d’un anti-pub/anti-tracker intégré ?

Niveau des paiements c’est plutôt complet aussi par rapport à certains concurrents. Vous pouvez régler via une CB classique (ou, mieux une carte Curve), PayPal, Amazon Pay, Google Pay ou encore les méthodes de paiements en ligne comme Sofort et Direct Debit. Petite cerise sur le gâteau, Surfshark accepte depuis quelques jours (fin novembre 2020) le paiement en crypto. Bitcoin, Ethereum, Ripple & co vous sont proposés via les services CoinGate et CoinPayments.

Bref pour profiter de l’offre Black Friday de Surfshark c’est par ici.

Encore merci à Surfshark de soutenir korben.info !


Réponses notables

  1. En version courte, c’est simplement que lors de l’interception ils peuvent rechiffrer ton site avec leur propre certificat et donc voir en clair ce qui passe. Il fabrique un certificat . et rechiffre à la volée.

  2. Du coup, vu qu’il ne s’agit que d’un simple MITM, un passage par un VPN étranger devrait régler le problème, non?

  3. Effectivement, j’ai des connaissances qui doivent bientôt partir au Kazak pour quelques mois. Un abonnement à un bon VPN devrait régler le problème, non ? (j’espère)

  4. Pour la partie client du VPN, rien de plus simple (sous Linux et avec openVPN), un fichier et les login/password à leur envoyer et ils entrent ça dans leur gestionnaire de réseau. Ça prends 2 minutes à tout casser.

    Pour la partie serveur, Tonton nous à pondu un très bon tuto pour monter son propre VPN, mais il en existe aussi des payant… encore faut il faire confiance.

    Enfin, pour la partie détection de TOR et VPN, je pense que les deux peuvent se faire détecter, mais qu’un VPN avec une adresse « unique » passera plus discrètement.

    Pour conclure, pour les plus paranos, ça peut être une bonne idée, ne ne pas envoyer les fichier, login et password en clair.

  5. Avatar for Cyrus Cyrus says:

    J’ai passé 3 mois en Chine et ai installé un VPN à la maison en Europe selon les instructions de Korben. J’avais en moyenne internet 10 minutes par heure. Comme il faut faire enregistrer tous les tunnels VPN auprès des autorités chinoises, ils bloquent assez rapidement les connections quand ils voient quelque chose de suspect.

    Si le Kazakhs font la même chose, y’aura pas beaucoup d’alternatives…

  6. Faudrait essayer d’utiliser DSVPN (https://github.com/jedisct1/dsvpn) et peut être faire du chain VPN. L’utilisation d’un VPN standard est trop facilement détectable et sera simplement bloqué en effet.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants