Archives par mot-clé : cryptage

Chiffrement, Entreprise

Le contrôle s’intensifie : Roskomnadzor resserre l’étau sur les VPN

La Russie renforce son contrôle sur les protocoles de chiffrement étrangers utilisés dans les réseaux VPN, en élargissant massivement sa « liste blanche » et en plaçant les entreprises sous une surveillance technologique toujours plus étroite.

Avec une multiplication par six du nombre d’adresses IP autorisées sur sa « liste blanche », Roskomnadzor, le régulateur russe des communications, accentue sa pression sur les entreprises utilisant des technologies de chiffrement étrangères. Derrière cette démarche, officiellement justifiée par la cybersécurité, se cache un mouvement plus large vers un Internet souverain, aligné sur les standards russes. Les sociétés, prises en étau entre la conformité réglementaire et la nécessité de maintenir des opérations efficaces, tentent d’obtenir l’aval du Centre de surveillance pour continuer à utiliser des VPN. Ce durcissement des politiques numériques s’inscrit dans une stratégie plus globale visant à affaiblir les outils permettant de contourner la censure et à renforcer le contrôle des flux d’information.

Le paysage numérique russe continue de se redessiner sous l’impulsion de Roskomnadzor (RKN), l’autorité de régulation des télécommunications, qui impose un encadrement toujours plus strict de l’utilisation des technologies de chiffrement étrangères. En quelques mois à peine, la fameuse « liste blanche » tenue par le Centre de surveillance et de contrôle du réseau de communications publiques (CMCN), un organe rattaché à Roskomnadzor, a explosé en volume : elle recense désormais 75 000 adresses IP, contre seulement 12 000 l’année précédente. Cette liste, qui fonctionne comme une zone d’exclusion des futures restrictions, devient un outil central de la politique de cybersurveillance russe.

« L’inclusion dans la liste blanche est devenue un impératif vital pour les entreprises qui souhaitent continuer à utiliser des solutions techniques non russes. »

Les entreprises russes, confrontées à l’impossibilité technique ou économique d’abandonner certains protocoles de chiffrement occidentaux, se résolvent à déclarer leurs systèmes auprès des autorités pour éviter des interruptions de service. Le CMCN leur demande de justifier l’usage de ces protocoles, de fournir les adresses IP concernées ainsi que les finalités de leur utilisation. Le message est clair : tolérance uniquement sous surveillance.

Ce cadre restrictif s’inscrit dans un contexte où l’État russe cherche à s’affranchir progressivement de toute dépendance technologique étrangère. En avril, Roskomnadzor a publié une recommandation explicite : les entreprises utilisant des VPN russes devaient « cesser d’utiliser des protocoles de chiffrement étrangers« , notamment ceux permettant d’accéder à des contenus interdits [comprenez des sites web, par exemple, considéré comme ‘terroriste », comme Facebook« ]. En cas d’impossibilité technique, une demande formelle doit être adressée au régulateur, accompagnée de justificatifs.

Pour les experts, cette mesure vise autant à tester le terrain qu’à préparer un futur durcissement. Selon eux, il ne s’agit pas encore de bloquer systématiquement, mais bien d’étendre les capacités de surveillance du trafic. Cette centralisation de l’information permettra à Roskomnadzor d’affiner ses outils de détection et d’exclusion, à terme, des flux non conformes aux standards russes.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

L’enjeu est loin d’être anodin. Le projet fédéral « Infrastructure de cybersécurité« , doté de 60 milliards de roubles (environ 610 millions d’euros), prévoit une modernisation poussée des dispositifs de filtrage. L’objectif est de pouvoir analyser le trafic chiffré à partir des signatures des protocoles, y compris les connexions VPN. À terme, cela permettrait de bloquer jusqu’à 96 % des solutions de contournement.

Mais cette sophistication technologique s’accompagne de risques considérables. Faux positifs, surcharge administrative pour les entreprises, et surtout frein à la compétitivité dans les secteurs orientés vers l’international. Car les protocoles russes comme GOST, même intégrés dans des solutions telles que « Continent » ou « ViPNet », ne sont pas compatibles avec les systèmes étrangers. Pour les secteurs publics ou les infrastructures critiques, le respect des normes russes est possible, voire imposé. En revanche, pour le commerce mondial ou l’industrie du développement logiciel, la transition est complexe, voire contre-productive.

Bref, les outils russes de chiffrement remplissent leur fonction dans un cadre strictement national. Mais leur déploiement dans les environnements multinationaux reste limité. Résultat : de nombreuses entreprises russes préfèrent conserver les protocoles étrangers pour leurs opérations internes, au risque de s’exposer aux sanctions du régulateur.

Une forme de résignation pragmatique de la part du secteur privé à venir ? Si toutes les communications non conformes aux standards russes sont bloquées, les entreprises n’auront d’autre choix que de livrer leurs adresses IP à Roskomnadzor, afin de ne pas paralyser leurs échanges internes et leurs connexions avec leurs filiales ou partenaires.

« Le VPN pourrait devenir une technologie à autorisation préalable, soumise au bon vouloir du régulateur »

Cette perspective d’un Internet « à autorisation » se confirme. L’accès au VPN en Russie pourrait bientôt être entièrement régi par une logique permissive, à savoir qu’il ne serait accordé qu’après validation explicite de Roskomnadzor. Une telle orientation marquerait une rupture nette avec la logique d’ouverture initiale d’Internet, en instaurant un contrôle bureaucratique préalable sur des technologies pourtant banalisées ailleurs.

La mise en œuvre de ces mesures s’inscrit dans la stratégie plus large du « RuNet souverain« , un Internet russe coupé du reste du monde et fonctionnant selon des normes locales. À terme, Moscou ambitionne de bâtir une infrastructure numérique entièrement autonome, à la fois en matière d’équipement, de logiciels et de protocoles. La guerre en Ukraine et les sanctions occidentales ont accéléré cette volonté de repli technologique.

Dans cette dynamique, les protocoles de chiffrement étrangers deviennent des symboles de dépendance à éradiquer. Mais leur interdiction brutale pourrait engendrer des effets pervers majeurs. Car les protocoles ouverts comme OpenVPN ou IPSec, largement utilisés dans le monde entier, sont devenus des standards industriels. Leur remplacement par des alternatives nationales n’est pas neutre : il impose des coûts supplémentaires, réduit l’interopérabilité et introduit des risques en matière de sécurité si les nouvelles solutions ne sont pas testées à l’échelle globale.

À cela s’ajoute un climat de surveillance renforcée. La collecte massive de données techniques, l’enregistrement obligatoire d’adresses IP et l’archivage des configurations réseau nourrissent un appareil bureaucratique omniprésent, dans lequel la conformité devient une condition de survie. Cette centralisation du contrôle, sous couvert de cybersécurité, marque une inflexion profonde vers un modèle où la liberté numérique est strictement encadrée.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Chiffrement, cryptage, Cybersécurité

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.