La Mongolie rejoint le nombre croissant de pays qui réduisent l'ouverture et la résilience de l'internet
Le parlement mongol examine actuellement une loi controversée qui donne au ministre des affaires intérieures le pouvoir de fermer l'accès à l'internet.
Cette loi, qui a été adoptée à la hâte par le parlement en janvier et à laquelle le président a rapidement opposé son veto, priverait 3,3 millions de personnes de la possibilité de communiquer, d'apprendre et de gagner leur vie, ce qui nuirait à l'économie du pays.
L'équipe Pulse a récemment constaté une augmentation du nombre de pays mettant en œuvre une telle législation, ce qui représente une tendance négative vers un internet ouvert et moins résistant.
Contrôle intégré via les passerelles Internet nationales
Plusieurs pays, dont l'Azerbaïdjan, l'Iran et le Liban, ont construit leur Internet de manière à ce que le gouvernement ait un contrôle total sur l'ensemble du trafic entrant et sortant du pays par le biais des passerelles Internet nationales.
Dans ces pays, tous les fournisseurs d'accès à Internet (FAI) doivent acheter leur accès directement auprès d'une entité unique liée au gouvernement, ce qui signifie que tout le trafic transite par le réseau du gouvernement, où il peut être contrôlé et, éventuellement, bloqué.
Cette configuration est intéressante pour ces gouvernements car elle permet de renforcer les mesures de sécurité, de faciliter la surveillance et d'augmenter le risque de limitations et de fermetures de l'internet.
Si nous examinons la configuration du Liban à l'aide de RIPEstat (figure 1), l'opérateur du réseau du gouvernement libanais, Ogero (AS42020), a 101 voisins uniques, ou relations avec d'autres systèmes autonomes (AS). Parmi ces voisins, on trouve
- Trois d'entre eux sont classés dans la catégorie "gauche", c'est-à-dire qu'il s'agit d'opérateurs de transit (Cogent, Level3 et Opentransit), qui permettent à l'Ogero d'accéder à l'internet mondial.
- 98 sont classés dans le type "droit", ce qui signifie qu'ils sont des clients en aval, c'est-à-dire tous les réseaux au Liban.
Outre les problèmes de protection de la vie privée, ces configurations de passerelles nationales réduisent la part de marché (augmentant la concentration du marché) et créent un point de défaillance unique qui met en péril la résilience de la connectivité du pays à l'internet mondial.
While Iran has one of the most controlled domestic Internets in the world, the government enforces the use of Resource Public Key Infrastructure (RPKI) for all its customers.
Almost every network in Iran is covered by a Route Origin Authorization (ROA), which helps to avoid hijacks and misconfigurations having a detrimental impact on the country’s Internet.
Learn more about routing security and how the Internet Society is supporting a global, community-led initiative to implement best practices to reduce the most common routing threats.
While a national gateway providing a single-entry point for the Internet provides for tight control of network topology, encrypted traffic would still transit through it without any problem. This is where Deep Packet Inspection (DPI) comes into play.
Utiliser l'inspection approfondie des paquets (DPI) pour inspecter le trafic chiffré
Pour comprendre comment cela est possible, il faut savoir qu'un grand pourcentage du trafic Internet utilise désormais TLS ou QUIC comme vecteurs de transport. Bien que tous deux cryptent les paquets, la différence notable entre les deux est que QUIC crypte non seulement les détails de la communication, mais aussi la plupart des métadonnées de connexion des observateurs, telles que l'identifiant du nom du serveur (Server Name Identifier - SNI). Le SNI indique le serveur qu'un utilisateur tente de contacter (par exemple www.isoc.org-making), ce qui permet à un acteur externe interceptant la communication de comprendre facilement où elle est dirigée.
Dans le cas de QUIC, l'interception du SNI est plus compliquée, de sorte que les chances qu'un acteur externe l'intercepte et utilise cette information pour bloquer la connexion ou la rediriger sont minimes.
C'est pourquoi nous avons récemment observé le phénomène suivant en Russie et en Iran (figures 2 et 3).
Dans les deux exemples, nous pouvons voir que l'utilisation de QUIC a chuté de manière drastique à un moment donné. Nous pensons que cela est dû à l'introduction de "boîtes intermédiaires" qui inspectent le trafic mais ne peuvent pas gérer le QUIC. Cela pourrait être considéré comme une préparation à une inspection plus approfondie et à un blocage de l'utilisateur.
Contrôle des bâtiments par le biais de la réglementation
La Mongolie est le pays qui fait l'actualité aujourd'hui, mais d'autres pays comme l'Azerbaïdjan et le Kazakhstan ont également montré qu'ils se préparaient à exercer un contrôle gouvernemental accru sur l'internet :
- Le 27 septembre 2020, le gouvernement azerbaïdjanais a annoncé qu'il restreindrait l'accès à Internet dans un contexte de tensions croissantes entre l'Arménie et l'Azerbaïdjan au sujet des revendications concurrentes sur la région frontalière du Haut-Karabakh.
- Le Kazakhstan a tenté d'introduire un certificat national en 2019, qui aurait permis au gouvernement de "lire" toute communication cryptée.
Il a également été rapporté que des fournisseurs d'accès à Internet en Russie et en Iran devaient héberger des boîtes noires contrôlées par leurs gouvernements respectifs. Ces boîtes noires permettent non seulement de surveiller les fournisseurs, mais aussi de couper la connectivité externe.
La dernière mesure prise par le parlement mongol, bien qu'elle ait été évitée par le veto présidentiel, montre que la volonté de contrôler l'accès à l'internet n'est pas en train de se calmer, mais plutôt de passer d'une tactique à l'autre et d'un outil à l'autre.
L'équipe Pulse de l'Internet Society, qui œuvrepour un internet ouvert, mondialement connecté, sûr et digne de confiance,suit de près ces évolutions inquiétantes.