Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Le Kazakhstan force les FAI à intercepter le trafic HTTPS de tous ses citoyens

Publié initialement à : https://korben.info/kazakhstan-intercepte-trafic-https-de-ses-citoyens.html

Ahhhh cette belle période qu’est l’été … son soleil, ses plages, les gens qui déconnectent un peu et ses gouvernements qui passent des lois peu populaires discrètement. Si vous habitez au Kazakhstan, vous savez de quoi je parle ! Et si vous n’y habitez pas (il doit bien y en avoir quelques-uns parmi vous), laissez-moi…

Quelqu’un peut éclairer ma lanterne ?
Je ne comprends pas techniquement comment le fait d’installer un nouveau certificat racine de confiance permet aux FAI de mes visiteurs Kazakhstanais d’espionner leurs visites sur mon site en https ?

En version courte, c’est simplement que lors de l’interception ils peuvent rechiffrer ton site avec leur propre certificat et donc voir en clair ce qui passe. Il fabrique un certificat . et rechiffre à la volée.

Du coup, vu qu’il ne s’agit que d’un simple MITM, un passage par un VPN étranger devrait régler le problème, non?

Effectivement, j’ai des connaissances qui doivent bientôt partir au Kazak pour quelques mois. Un abonnement à un bon VPN devrait régler le problème, non ? (j’espère)

Idem pour moi, des amis vont y travailler dans deux mois : est-ce que l’utilisation de tor (tor browser ou carrément whonix) pourrait être détectée ou impossible ? J’ai jamais installé de vpn et je dois tout leur faire à distance (TeamViewer ou Anydesk)

Pour la partie client du VPN, rien de plus simple (sous Linux et avec openVPN), un fichier et les login/password à leur envoyer et ils entrent ça dans leur gestionnaire de réseau. Ça prends 2 minutes à tout casser.

Pour la partie serveur, Tonton nous à pondu un très bon tuto pour monter son propre VPN, mais il en existe aussi des payant… encore faut il faire confiance.

Enfin, pour la partie détection de TOR et VPN, je pense que les deux peuvent se faire détecter, mais qu’un VPN avec une adresse « unique » passera plus discrètement.

Pour conclure, pour les plus paranos, ça peut être une bonne idée, ne ne pas envoyer les fichier, login et password en clair.

1 J'aime

J’ai passé 3 mois en Chine et ai installé un VPN à la maison en Europe selon les instructions de Korben. J’avais en moyenne internet 10 minutes par heure. Comme il faut faire enregistrer tous les tunnels VPN auprès des autorités chinoises, ils bloquent assez rapidement les connections quand ils voient quelque chose de suspect.

Si le Kazakhs font la même chose, y’aura pas beaucoup d’alternatives…

1 J'aime

Faudrait essayer d’utiliser DSVPN (https://github.com/jedisct1/dsvpn) et peut être faire du chain VPN. L’utilisation d’un VPN standard est trop facilement détectable et sera simplement bloqué en effet.

1 J'aime