Une année de surveillance et de résilience d’Internet : 2022 en revue

Cette année, nous avons vu un éventail de différentes façons dont les gouvernements du monde entier ont tenté de modifier la sécurité de base sur le Web pour les utilisateurs. Une grande partie de cela a été tentée par le biais de la législation, d’interférences directes sur le réseau ou d’une demande directe d’un gouvernement aux autorités de gouvernance d’Internet. D’autre part, nous avons également vu de nouveaux mécanismes anti-censure aider les gens afin qu’ils puissent retrouver l’accès au monde plus large, donnant de l’espoir en des temps vraiment sombres.

Cadre d’identité numérique de l’UE

Bien que le cadre et la loi eIDAS ( identification électronique , authentification et services de confiance ) de l’Union européenne ne soient pas nouveaux et soient en vigueur depuis 2014, plusieurs amendements proposés au Parlement européen ont suscité de nouvelles conversations et préoccupations. À titre d’exemple, il existe une proposition d’ amendement à l’article 45 qui, selon nous, pourrait modifier fondamentalement le modèle de confiance Web tel que nous le connaissons. L’amendement exigerait que les navigateurs Web fassent confiance à des tiers désignés par le gouvernement, sans les garanties de sécurité nécessaires.

EFF a passé en revue les implications et a conclu qu’il s’agissait d’une solution à la recherche d’un problème. La proposition imposerait des certificats d’authentification Web qualifiés (QWAC) coûteux pour les sites Web, au lieu de certificats moins chers ou gratuits comme option la plus sûre pour la communication sur le Web ; et cela pourrait potentiellement rendre les utilisateurs vulnérables aux activités malveillantes des autorités de certification gouvernementales (ou des fournisseurs de services de confiance qualifiés/QTSP) dans le pire des cas.

Le 6 décembre 2022, le Conseil de l’Union européenne a adopté le libellé original de l’amendement malgré les propositions de plusieurs commissions du Parlement européen qui permettraient aux navigateurs de protéger les utilisateurs face à une menace pour la sécurité par un QTSP. La décision finale appartient à la commission de l’industrie, de la recherche et de l’énergie (ITRE), et nous demandons instamment que le vote final garantisse que les navigateurs puissent continuer à bloquer les autorités de certification qui ne respectent pas les normes de sécurité, en particulier lorsque l’UE elle-même est confrontée à des États membres. diverses questions autour de la démocratie.

Internet en temps de guerre

Avec l’invasion russe de l’Ukraine, de nombreux problèmes liés au blocage du gouvernement, à la censure et aux risques pour la sécurité se sont posés à l’ intérieur et à l’extérieur de la Russie. À l’intérieur du pays, divers VPN et protocoles d’anonymat comme Tor ont été bloqués, ce qui, selon nous, est le plus susceptible de dissuader la dissidence et de garder un œil sur le trafic des personnes.

De lourdes sanctions étrangères ont été une autre couche qui a contribué à la fragmentation de l’Internet russe. Alors que les entreprises rompaient leurs liens, des services tels que les autorités de certification avaient interrompu la délivrance de nouveaux certificats à tout site Web avec un domaine de premier niveau russe (comme .ru). Cela a créé un espace pour que le gouvernement russe intervienne et crée sa propre « autorité de certification racine de confiance russe » pour combler les lacunes de ces sites Web, ouvrant la voie à un « Splinternet » durable.La Russie y aspire en fin de compte. Enfin, le gouvernement ukrainien a demandé à l’Internet Corporation for Assigned Names and Numbers (ICANN) de couper complètement les domaines de premier niveau russes du reste de l’Internet. L’ICANN est l’organisation internationale à but non lucratif basée aux États-Unis qui supervise le système mondial des noms de domaine Internet et des adresses IP. Nous avons expliqué pourquoi cette demande n’aurait pas seulement un impact sur les personnes en tort, mais affecterait négativement la sécurité sur le Web pour tout le monde . Heureusement, l’ICANN a refusé la demande.

Insurrection en Iran

Le 13 septembre 2022, Mahsa Amini, une femme kurde de 22 ans qui s’était rendue à Téhéran avec sa famille, a été arrêtée par des policiers de la « moralité », et est décédée en garde à vue trois jours plus tard. Depuis lors, les manifestations en Iran ont été soutenues par de larges pans du peuple iranien et, en réponse, le gouvernement a bloqué de nombreux services en ligne dans le pays. Comme en Russie, les efforts de l’Iran pour filtrer le trafic en ligne national ne sont pas nouveaux et font partie d’un effort continu pour dissuader la dissidence et verrouiller les informations importantes du monde extérieur. En mars, EFF a signé une lettre au gouvernement iranien avec plus de 50 autres organisations pour l’exhorter à annuler le projet de loi draconien sur le système de réglementation des services du cyberespace. Ce projet de loi viole les droits fondamentaux à la vie privée et à la liberté d’expression. Bien qu’il n’ait pas été ratifié, on soupçonne déjà que certaines de ses parties ont déjà été mises en œuvre. Avec des incidents avérés plus récents de censure sur Internet, le gouvernement a déjà franchi ce pont vers une multitude de violations des droits de l’homme.

Progrès des outils anti-censure

Avec l’Iran comme exemple, nous avons vu de nouvelles formes de blocage Internet des protocoles modernes et des terminaux populaires qui les prennent en charge ; tels que DNS chiffré et HTTP/3 . Bien que nous soyons inquiets de la façon dont les gouvernements évoluent pour bloquer de manière créative le trafic réseau, nous sommes également optimistes quant aux développements pour aider les militants à faire passer leur message et à communiquer avec les autres.

Un outil qui a connu une grande popularité est Snowflake. Cet outil aide à connecter ceux des pays où Tor est bloqué en aidant le trafic des utilisateurs à paraître inoffensif. Vous pouvez apprendre à “devenir un flocon de neige” et aider les personnes sous censure à se connecter au Web ouvert avec notre publication . En parlant de Tor, le navigateur Tor a également ajouté une nouvelle fonctionnalité d’assistance à la connexion automatique qui se connecte aux ponts Tor au cas où Tor serait bloqué dans votre région. Cette fonctionnalité garantit que vous pouvez désormais vous connecter de manière transparente aux ponts Tor, y compris avec Snowflake.

Au fur et à mesure que des rapports indiquaient que Signal était bloqué en Iran, l’ appel à Signal Proxies de la présidente de Signal, Meredith Whittaker, a donné un guide très simple sur la façon de créer et d’héberger un proxy Signal et d’aider les gens à se reconnecter à la plate-forme en toute sécurité. Bien qu’il existe des rapports selon lesquels ceux-ci peuvent être bloqués s’ils sont découverts par les censeurs du gouvernement, il existe des moyens de partager discrètement l’adresse de ces proxys, comme expliqué dans le guide.

Enfin, cette année, l’Open Observatory of Network Interference ( OONI) a également déployé un nouveau cours en ligne avec la plateforme de formation aux droits de l’homme Advocacy Assembly pour utiliser les outils d’OONI afin de mesurer la censure et les données en temps réel de divers sites Web et services fréquemment bloqués comme WhatsApp. . Cet effort pourrait contribuer à l’effort de recherche ouverte de cas plus granulaires dans le monde qui pourraient être manqués.

Alors que la censure d’Internet au niveau gouvernemental est difficile à combattre, nous espérons voir des innovations continuer à garder ces technologies ouvertes et disponibles au public dans le monde entier. Cela consiste en partie à maintenir une sécurité Internet solide partout, et pas seulement dans les pays traditionnellement considérés comme autoritaires. Promouvoir et défendre le chiffrement de bout en bout et le chiffrement omniprésent sur le Web, même là où la sécurité Internet est la plus forte au monde, aidera là où elle est la plus faible.

PAR ALEXIS HANCOCK