La Mongolie rejoint le nombre croissant de pays qui réduisent l’ouverture et la résilience de l’internet

Picture of Massimiliano Stucchi
Regional Technical Advisor - Europe, Internet Society
Catégories:
Twitter logo
LinkedIn logo
Facebook logo
March 21, 2023

Le parlement mongol examine actuellement une loi controversée qui donne au ministre des affaires intérieures le pouvoir de fermer l’accès à l’internet.

Cette loi, qui a été adoptée à la hâte par le parlement en janvier et à laquelle le président a rapidement opposé son veto, priverait 3,3 millions de personnes de la possibilité de communiquer, d’apprendre et de gagner leur vie, ce qui nuirait à l’économie du pays.

L’équipe Pulse a récemment constaté une augmentation du nombre de pays mettant en œuvre une telle législation, ce qui représente une tendance négative vers un internet ouvert et moins résistant.

Contrôle intégré via les passerelles Internet nationales

Plusieurs pays, dont l’Azerbaïdjan, l’Iran et le Liban, ont construit leur Internet de manière à ce que le gouvernement ait un contrôle total sur l’ensemble du trafic entrant et sortant du pays par le biais des passerelles Internet nationales.

Dans ces pays, tous les fournisseurs d’accès à Internet (FAI) doivent acheter leur accès directement auprès d’une entité unique liée au gouvernement, ce qui signifie que tout le trafic transite par le réseau du gouvernement, où il peut être contrôlé et, éventuellement, bloqué.

Cette configuration est intéressante pour ces gouvernements car elle permet de renforcer les mesures de sécurité, de faciliter la surveillance et d’augmenter le risque de limitations et de fermetures de l’internet.

Si nous examinons la configuration du Liban à l’aide de RIPEstat (figure 1), l’opérateur du réseau du gouvernement libanais, Ogero (AS42020), a 101 voisins uniques, ou relations avec d’autres systèmes autonomes (AS). Parmi ces derniers,

  • Trois d’entre eux sont classés dans la catégorie “gauche”, c’est-à-dire qu’il s’agit d’opérateurs de transit (Cogent, Level3 et Opentransit), qui permettent à l’Ogero d’accéder à l’internet mondial.
  • 98 sont classés dans le type “droit”, ce qui signifie qu’ils sont des clients en aval, c’est-à-dire tous les réseaux au Liban.
Capture d'écran de l'outil RIPEstat ASN Neighbor
Figure 1 – Réseaux locaux (type : droite) et internationaux (type : gauche) qui se connectent à Ogero (AS42020) (Source : RIPEstat).

Outre les problèmes de protection de la vie privée, ces configurations de passerelles nationales réduisent la part de marché (augmentant la concentration du marché) et créent un point de défaillance unique qui met en péril la résilience de la connectivité du pays à l’internet mondial.

Le modèle d’accès unique de l’Iran permet des mesures de sécurité strictes en matière de routage

Alors que l’Iran possède l’un des réseaux Internet les plus contrôlés au monde, le gouvernement impose à tous ses clients l’utilisation d’une infrastructure de clés publiques de ressources(RPKI).

Presque tous les réseaux en Iran sont couverts par une autorisation d’origine de la route(ROA), ce qui permet d’éviter les détournements et les mauvaises configurations qui ont un impact négatif sur l’internet du pays.

En savoir plus sur la sécurité du routage et sur la manière dont l’Internet Society soutient une initiative mondiale menée par la communauté pour mettre en œuvre les meilleures pratiques afin de réduire les menaces les plus courantes en matière de routage.

Bien qu’une passerelle nationale fournissant un point d’entrée unique pour l’internet permette un contrôle étroit de la topologie du réseau, le trafic crypté y transiterait toujours sans problème. C’est là que l’inspection approfondie des paquets (DPI) entre en jeu.

Utilisation de l’inspection approfondie des paquets (DPI) pour inspecter le trafic crypté

Pour comprendre comment cela est possible, il faut savoir qu’un grand pourcentage du trafic Internet utilise désormais TLS ou QUIC comme vecteurs de transport. Si les deux cryptent les paquets, la différence notable entre les deux est que QUIC crypte non seulement les détails de la communication mais aussi la plupart des métadonnées de connexion des observateurs, telles que l’identifiant du nom du serveur (Server Name Identifier – SNI). Le SNI indique le serveur qu’un utilisateur tente de contacter – par exemple www.isoc.org-making – et permet à un acteur externe interceptant la communication de comprendre facilement où celle-ci est dirigée.

Dans le cas de QUIC, l’interception du SNI est plus compliquée, de sorte que les chances qu’un acteur externe l’intercepte et utilise cette information pour bloquer la connexion ou la rediriger sont minimes.

C’est pourquoi nous avons récemment observé le phénomène suivant en Russie et en Iran (figures 2 et 3).

Infographie montrant l'utilisation de TLS et QUIC en Russie, de février à mars 2022.
Figure 2 – Utilisation de TLS et QUIC en Russie, de février à mars 2022. (Source : Cloudflare)
Infographie montrant l'utilisation de TLS et QUIC en Iran, janvier 2023.
Figure 3 – Utilisation de TLS et QUIC en Iran, janvier 2023. (Source : Cloudflare)

Dans les deux exemples, nous pouvons constater que l’utilisation du QUIC a chuté de manière drastique à un moment donné. Nous pensons que cela est dû à l’introduction de “boîtes intermédiaires” qui inspectent le trafic mais ne peuvent pas traiter le QUIC. Cela peut être considéré comme une préparation à une inspection plus approfondie et au blocage des utilisateurs.

Contrôle des bâtiments par le biais de la réglementation

La Mongolie est le pays qui fait l’actualité aujourd’hui, mais d’autres pays comme l’Azerbaïdjan et le Kazakhstan ont également montré qu’ils se préparaient à exercer un contrôle gouvernemental accru sur l’internet :

Il a également été rapporté que des fournisseurs d’accès à Internet en Russie et en Iran devaient héberger des boîtes noires contrôlées par leurs gouvernements respectifs. Les boîtiers d’extrémité des fournisseurs permettent non seulement la surveillance, mais peuvent également être utilisés pour couper la connectivité externe.

La dernière mesure prise par le parlement mongol, bien qu’elle ait été évitée par le veto présidentiel, montre que la volonté de contrôler l’accès à l’internet n’est pas en train de se calmer, mais plutôt de passer d’une tactique à l’autre et d’un outil à l’autre.

L’équipe Pulse de l’Internet Society, qui œuvrepour un internet ouvert, mondialement connecté, sûr et digne de confiance,suit de près ces évolutions inquiétantes.