La Russie renforce son contrôle sur les protocoles de chiffrement étrangers utilisés dans les réseaux VPN, en élargissant massivement sa « liste blanche » et en plaçant les entreprises sous une surveillance technologique toujours plus étroite.
Avec une multiplication par six du nombre d’adresses IP autorisées sur sa « liste blanche », Roskomnadzor, le régulateur russe des communications, accentue sa pression sur les entreprises utilisant des technologies de chiffrement étrangères. Derrière cette démarche, officiellement justifiée par la cybersécurité, se cache un mouvement plus large vers un Internet souverain, aligné sur les standards russes. Les sociétés, prises en étau entre la conformité réglementaire et la nécessité de maintenir des opérations efficaces, tentent d’obtenir l’aval du Centre de surveillance pour continuer à utiliser des VPN. Ce durcissement des politiques numériques s’inscrit dans une stratégie plus globale visant à affaiblir les outils permettant de contourner la censure et à renforcer le contrôle des flux d’information.
Le paysage numérique russe continue de se redessiner sous l’impulsion de Roskomnadzor (RKN), l’autorité de régulation des télécommunications, qui impose un encadrement toujours plus strict de l’utilisation des technologies de chiffrement étrangères. En quelques mois à peine, la fameuse « liste blanche » tenue par le Centre de surveillance et de contrôle du réseau de communications publiques (CMCN), un organe rattaché à Roskomnadzor, a explosé en volume : elle recense désormais 75 000 adresses IP, contre seulement 12 000 l’année précédente. Cette liste, qui fonctionne comme une zone d’exclusion des futures restrictions, devient un outil central de la politique de cybersurveillance russe.
« L’inclusion dans la liste blanche est devenue un impératif vital pour les entreprises qui souhaitent continuer à utiliser des solutions techniques non russes. »
Les entreprises russes, confrontées à l’impossibilité technique ou économique d’abandonner certains protocoles de chiffrement occidentaux, se résolvent à déclarer leurs systèmes auprès des autorités pour éviter des interruptions de service. Le CMCN leur demande de justifier l’usage de ces protocoles, de fournir les adresses IP concernées ainsi que les finalités de leur utilisation. Le message est clair : tolérance uniquement sous surveillance.
Ce cadre restrictif s’inscrit dans un contexte où l’État russe cherche à s’affranchir progressivement de toute dépendance technologique étrangère. En avril, Roskomnadzor a publié une recommandation explicite : les entreprises utilisant des VPN russes devaient « cesser d’utiliser des protocoles de chiffrement étrangers« , notamment ceux permettant d’accéder à des contenus interdits [comprenez des sites web, par exemple, considéré comme ‘terroriste », comme Facebook« . En cas d’impossibilité technique, une demande formelle doit être adressée au régulateur, accompagnée de justificatifs.
Pour les experts, cette mesure vise autant à tester le terrain qu’à préparer un futur durcissement. Selon eux, il ne s’agit pas encore de bloquer systématiquement, mais bien d’étendre les capacités de surveillance du trafic. Cette centralisation de l’information permettra à Roskomnadzor d’affiner ses outils de détection et d’exclusion, à terme, des flux non conformes aux standards russes.
L’enjeu est loin d’être anodin. Le projet fédéral « Infrastructure de cybersécurité« , doté de 60 milliards de roubles (environ 610 millions d’euros), prévoit une modernisation poussée des dispositifs de filtrage. L’objectif est de pouvoir analyser le trafic chiffré à partir des signatures des protocoles, y compris les connexions VPN. À terme, cela permettrait de bloquer jusqu’à 96 % des solutions de contournement.
Mais cette sophistication technologique s’accompagne de risques considérables. Faux positifs, surcharge administrative pour les entreprises, et surtout frein à la compétitivité dans les secteurs orientés vers l’international. Car les protocoles russes comme GOST, même intégrés dans des solutions telles que « Continent » ou « ViPNet », ne sont pas compatibles avec les systèmes étrangers. Pour les secteurs publics ou les infrastructures critiques, le respect des normes russes est possible, voire imposé. En revanche, pour le commerce mondial ou l’industrie du développement logiciel, la transition est complexe, voire contre-productive.
Bref, les outils russes de chiffrement remplissent leur fonction dans un cadre strictement national. Mais leur déploiement dans les environnements multinationaux reste limité. Résultat : de nombreuses entreprises russes préfèrent conserver les protocoles étrangers pour leurs opérations internes, au risque de s’exposer aux sanctions du régulateur.
Une forme de résignation pragmatique de la part du secteur privé à venir ? Si toutes les communications non conformes aux standards russes sont bloquées, les entreprises n’auront d’autre choix que de livrer leurs adresses IP à Roskomnadzor, afin de ne pas paralyser leurs échanges internes et leurs connexions avec leurs filiales ou partenaires.
« Le VPN pourrait devenir une technologie à autorisation préalable, soumise au bon vouloir du régulateur »
Cette perspective d’un Internet « à autorisation » se confirme. L’accès au VPN en Russie pourrait bientôt être entièrement régi par une logique permissive, à savoir qu’il ne serait accordé qu’après validation explicite de Roskomnadzor. Une telle orientation marquerait une rupture nette avec la logique d’ouverture initiale d’Internet, en instaurant un contrôle bureaucratique préalable sur des technologies pourtant banalisées ailleurs.
La mise en œuvre de ces mesures s’inscrit dans la stratégie plus large du « RuNet souverain« , un Internet russe coupé du reste du monde et fonctionnant selon des normes locales. À terme, Moscou ambitionne de bâtir une infrastructure numérique entièrement autonome, à la fois en matière d’équipement, de logiciels et de protocoles. La guerre en Ukraine et les sanctions occidentales ont accéléré cette volonté de repli technologique.
Dans cette dynamique, les protocoles de chiffrement étrangers deviennent des symboles de dépendance à éradiquer. Mais leur interdiction brutale pourrait engendrer des effets pervers majeurs. Car les protocoles ouverts comme OpenVPN ou IPSec, largement utilisés dans le monde entier, sont devenus des standards industriels. Leur remplacement par des alternatives nationales n’est pas neutre : il impose des coûts supplémentaires, réduit l’interopérabilité et introduit des risques en matière de sécurité si les nouvelles solutions ne sont pas testées à l’échelle globale.
À cela s’ajoute un climat de surveillance renforcée. La collecte massive de données techniques, l’enregistrement obligatoire d’adresses IP et l’archivage des configurations réseau nourrissent un appareil bureaucratique omniprésent, dans lequel la conformité devient une condition de survie. Cette centralisation du contrôle, sous couvert de cybersécurité, marque une inflexion profonde vers un modèle où la liberté numérique est strictement encadrée.
