Introducing the 2024 PKI & Digital Trust Report     | Download the Report

La Russie crée sa propre autorité de certification (AC) pour émettre des certificats TLS

Certificats SSL/TLS

En réponse à l'invasion de l'Ukraine par le président Vladimir Poutine, de nombreux gouvernements occidentaux ont imposé des sanctions interdisant aux entreprises de faire des affaires avec la Russie.

Parmi ces entreprises figurent des autorités de certification (AC) tierces publiques qui émettent des certificats numériques pour les sites web afin de valider le domaine d'un site web et de permettre une plus grande confiance dans les communications et les transactions en ligne.

Ce que cela signifie

Avant l'invasion de l'Ukraine, les sites web de nombreuses entreprises basées en Russie se procuraient et renouvelaient les certificats TLS par l'intermédiaire d'autorités tierces telles que DigiCert ou GoDaddy. Cependant, le nombre croissant de sanctions imposées à la Russie signifie que ces sites web seront incapables de renouveler les certificats ; leurs sites cesseront d'être reconnus par les navigateurs web. Par mesure de précaution, les navigateurs modernes bloqueront l'accès à ces sites ou, à tout le moins, émettront des avertissements susceptibles de dissuader les consommateurs de visiter ces sites.

En réponse, la Russie a créé sa propre autorité de certification nationale pour émettre des certificats TLS . Bien que les circonstances soient différentes, il ne s'agit pas d'une initiative unique. D'autres États ont tenté de le faire, chacun pour des raisons qui lui sont propres, mais rarement dans le but de renforcer la confiance en ligne. Cette initiative fait craindre que le peuple russe ne soit plus vulnérable aux cyberattaques et à l'espionnage de la part de son propre gouvernement.

Pourquoi c'est important

Il est évident que le conflit entre la Russie et l'Ukraine a un impact sur tous les fronts et dans tous les domaines. En Ukraine, la vie et les moyens de subsistance de personnes innocentes sont gravement menacés. En Ukraine comme en Russie, les libertés sont en état de siège, y compris celles qui existent dans le paysage numérique.

Si le conflit a gravement perturbé la vie des citoyens, il n'a pas mis en veilleuse les besoins des entreprises. Les entreprises russes doivent continuer à fonctionner et un élément clé de cette activité dépend de leur capacité à gérer leur site web en toute sécurité à l'aide de certificats numériques, ce qui met en évidence la dépendance de la Russie à l'égard du système de confiance établi sur l'internet depuis plus de 20 ans.

La mise en place par la Russie de sa propre autorité de certification étatique soulève une myriade de questions. La première concerne la liberté numérique et la confidentialité des données. En Russie, où les craintes de cybercriminalité et de surveillance répressive sont omniprésentes, les implications du contrôle des citoyens et de l'internet en Russie sont considérables.

Avec un "State friendly CA", il est possible pour un gouvernement d'intercepter les tentatives d'une personne pour atteindre un site donné et de faire n'importe quoi, depuis l'écoute des communications jusqu'au remplacement d'un site par sa propre (fausse) page web. À son tour, le gouvernement a la possibilité de lancer des logiciels espions qui surveillent l'activité d'un utilisateur sur un site web donné.

La deuxième préoccupation majeure est de nature plus opérationnelle. Les AC confirment qu'un domaine appartient à une entité vérifiée, ce qui signifie qu'elles doivent être reconnues par les navigateurs web comme étant fiables et légitimes. Actuellement, seuls deux navigateurs reconnaissent la nouvelle autorité de certification russe comme digne de confiance : le navigateur Atom ( open-source ) et le navigateur russe Yandex.

Le fait d'empêcher les entreprises russes de se procurer des certificats reconnus par le public aura un impact négatif global sur la sécurité de l'internet et, par conséquent, sur les entreprises en Russie, car les citoyens ne pourront pas faire des achats, payer leurs impôts ou effectuer des opérations bancaires en ligne, par exemple.

Une vue d'ensemble

Les États-nations ont déjà été confrontés à de graves perturbations de la chaîne d'approvisionnement causées par la pandémie de COVID-19. Et comme de nombreuses économies mondiales ont rompu leurs liens avec la Russie et que la production locale de l'Ukraine s'est arrêtée, ces perturbations ne devraient que s'aggraver.

De nombreux dirigeants mondiaux cherchent à réduire la dépendance de leur pays à l'égard de la chaîne d'approvisionnement mondiale. Par exemple, des pays comme les États-Unis cherchent à devenir indépendants sur le plan énergétique, afin de ne plus avoir à importer du pétrole et d'autres sources d'énergie étrangères.

De telles décisions ne doivent pas être prises à la légère. En ce qui concerne le domaine numérique, l'impact à long terme pourrait modifier fondamentalement l'internet, qui a toujours été une plateforme ouverte et accessible. Un internet ouvert dépend de l'interaction entre des facteurs techniques, commerciaux et politiques. La mise en place de "frontières" sur l'internet mondial a de graves répercussions.

Le Certification Authority Browser Forum, également connu sous le nom de CA/Browser Forum, est un organisme de collaboration entre les autorités de certification et les navigateurs web les plus populaires tels que Firefox (Mozilla), Chrome (Google), Safari (Apple) et Edge (Microsoft).

En substance, le consortium volontaire réglemente la chaîne d'approvisionnement de confiance qui soutient la sécurité de l'internet - dans ce cas, le forum régit l'émission et la gestion de certificats de confiance publics. Restreindre le choix des AC membres qui émettent des certificats pourrait se traduire par un internet moins ouvert.

À l'heure actuelle, aucun des principaux navigateurs ne fait confiance à l'autorité de certification créée par la Russie et le processus d'accréditation prend des mois - à supposer que le CA/Browser Forum ou la Russie soient intéressés par une telle démarche.

Toutefois, à mesure que les effets à long terme de ces perturbations de la chaîne d'approvisionnement se font sentir, les pays doivent se demander si leurs organisations seront en mesure de gérer efficacement les racines de la confiance avant - ou au moment où elles déploieront leur propre service d'autorité de certification. Ce faisant, les organisations devront relever de nouveaux défis pour travailler avec les autorités de certification de ces régions, en particulier lorsqu'elles créeront des certificats numériques pour authentifier les informations partagées en ligne.

Le paysage de l'AC et de la confiance évoluant inévitablement, la cryptographie joue un rôle important dans tout service numérique. Sans la capacité de chiffrer, et donc de sécuriser, les transmissions de données sur l'internet, une grande partie de ce que nous faisons en ligne serait impossible. À la lumière de ces nouveaux enjeux, l'agilité cryptographique - la capacité de modifier rapidement et facilement les processus de cryptage, de signatures et de certificats - sera impérative pour les entreprises qui souhaitent opérer à l'ère moderne.

Quelle que soit l'évolution du paysage, la création de l'AC russe soulève d'importantes questions sur l'avenir de l'internet et oblige les organisations à repenser leur capacité à s'adapter à ces changements et à rester crypto-agiles tout en continuant à mener leurs activités en toute sécurité.