Le rideau de fer numérique. La Russie amorce une interdiction totale des VPN.

En Octobre 2023, la Russie intensifiait une nouvelle fois son contrôle d’Internet renforçant, à nouveau, leur rideau de fer numérique. Des sources russes ont récemment confirmé qu’une interdiction des services VPN entrerait en vigueur le 1er mars. Cette interdiction couvre les publicités et les sites Internet fournissant des informations sur la manière de contourner les ressources bloquées en Russie et dans les territoires occupés de l’Ukraine. Il s’agit de la dernière étape d’une campagne de plusieurs années visant à réglementer l’accès à l’information, à isoler les utilisateurs d’Internet en Russie et à augmenter les capacités de surveillance par les autorités. Restreindre les VPN pourrait être perçu comme réduisant l’un des derniers outils dont disposent les citoyens russes pour accéder au monde extérieur, entendre des opinions, des nouvelles et des perspectives au-delà du champ du mediaverse Russe.

Au-delà de l’interdiction des VPN, c’est surtout l’accès à certains contenus qui est visé.

Au cours des dernières années, les autorités russes ont fait pression sur les entreprises de médias sociaux pour restreindre le contenu, établir des entités commerciales locales, stocker les données localement et permettre aux services de sécurité un accès illimité aux données des utilisateurs (comme l’exige la loi russe).
Certaines entreprises occidentales de médias sociaux ont décidé de ne pas se conformer aux réglementations locales, même si cela signifie quitter le marché russe.

En 2018, la Russie a demandé à Telegram, l’application de messagerie sécurisée de fournir aux services de sécurité les clés de chiffrement pour permettre au gouvernement d’accéder aux messages, audios et images des utilisateurs. Telegram a refusé cette demande et s’est adapté en changeant son adresse IP.

En retour, le régulateur d’État (Roskomnadzor) a bloqué près de 20 millions d’adresses IP d’Amazon et de Google Cloud pour empêcher Telegram de changer d’IP pour contourner l’interdiction.

En 2020, Telegram est, de nouveau, entré sur le marché russe et selon un rapport de Wired il y a eu des cas où des utilisateurs ont été contactés par les autorités concernant leurs communications privées dans l’application Telegram.

En 2022, près de 23 % de la population russe utilisait des services VPN par rapport à seulement 9 % en 2021. La hausse de l’utilisation des VPN est associée au conflit en Ukraine et au blocage par les autorités russes d’environ 138 000 sites web, y compris des plateformes de médias sociaux telles qu’Instagram, Facebook et X (anciennement Twitter).

En 2023, la Russie a reçu un score de 21 sur 100 dans le classement annuel Freedom on the Net (indice de liberté de parole et de droit dans le monde numérique).

Chronologie des restrictions numériques en Russie

• 2000–2001 : Premières restrictions
  Le gouvernement russe a commencé à créer et à appliquer des réglementations pour fournir un contrôle étatique de l’internet, y compris des lois limitant le contenu en ligne et restreignant les activités des utilisateurs.
• 2012 : Loi sur la liste noire d’Internet
  Le gouvernement russe a créé une loi permettant de mettre sur liste noire des sites web sans ordonnance judiciaire ni véritable supervision pour juger le site inacceptable. À l’époque, la société civile russe s’est inquiétée que les lois puissent restreindre la liberté d’expression.
• 2014 : Loi sur l’enregistrement des blogueurs
  Les blogueurs influents ou toute personne dont la présence en ligne ou le site web attire plus de 3 000 lecteurs quotidiens doivent s’enregistrer auprès du gouvernement, divulguer des informations personnelles et fournir des détails techniques au principal organisme de sécurité de la Russie, qui est le Service fédéral de sécurité de la Fédération de Russie. Ce mouvement a été perçu par les défenseurs de la vie privée comme une tentative d’intimider, de surveiller et de contrôler les individus influents en ligne.
• 2015 : Loi sur la localisation des données
  La Russie a exigé que les entreprises Internet (étrangères et nationales) stockent les données personnelles des utilisateurs russes sur des serveurs situés dans le pays. Cette loi exigeait également que les informations soient accessibles aux autorités, donnant effectivement à l’État le contrôle sur les données des utilisateurs.
• 2016 : Loi « Yarovaya » également connue sous le nom de « Loi Big Brother »
  Cette loi a étendu les pouvoirs de surveillance du gouvernement russe, exigeant que les fournisseurs de services Internet (FAI) stockent les données de communication des utilisateurs jusqu’à trois ans. Ils étaient également tenus de fournir un accès complet aux agences de sécurité, ce qui impliquait l’installation de matériel et de logiciels de surveillance. De plus, la loi interdisait aux moteurs de recherche d’afficher des résultats pour les sites web mis sur liste noire.
• 2017 : Les services de messagerie instantanée doivent partager les clés de chiffrement
  Selon cette loi, tous les services de messagerie instantanée opérant en Russie étaient tenus de fournir au FSB l’accès aux messages chiffrés des utilisateurs. Cela rendait toute fonctionnalité de confidentialité de l’application inutile puisque toutes les communications pouvaient être déchiffrées à l’aide des clés fournies par la loi. De plus, tous les utilisateurs des applications de messagerie devaient être identifiés par l’enregistrement de l’opérateur mobile.
• 2018 : Interdiction des VPN et des serveurs proxy (retardée à mars 2024)
  La Russie a adopté une loi interdisant l’utilisation des réseaux privés virtuels (VPN) et des serveurs proxy qui permettent tous deux aux utilisateurs d’accéder à du contenu bloqué dans le but de renforcer le contrôle sur l’accès aux informations en ligne. La loi est entrée en vigueur le 1er mars 2024, près de six ans après son adoption initiale. Le retard pourrait être dû à la difficulté des capacités techniques nécessaires pour bloquer complètement tous les services VPN.
• 2019 : Loi sur l’Internet souverain
  Cette loi a donné au gouvernement l’autorité de centraliser le contrôle sur l’infrastructure Internet du pays en cas de menaces perçues pour la sécurité nationale. La législation, qui a été promulguée la même année, a également fixé des amendes pour la diffusion de contenu irrespectueux sur le gouvernement et les fonctionnaires d’État en ligne, restreignant davantage la liberté d’expression.
• 2020-2021 : Contrôle des médias sociaux et amendes
  Selon ces lois, les autorités pouvaient infliger des amendes aux plateformes de médias sociaux pour ne pas avoir supprimé le contenu jugé illégal. Ce mandat mettait la pression sur les plateformes pour se conformer aux exigences de censure de l’État, y compris les exigences pour établir des entités juridiques, stocker les données des utilisateurs localement et rendre ces données accessibles aux autorités.

Comment bloquer l’utilisation des VPN ?

Bloquer les services VPN représente un défi technique, mais ce n’est pas impossible.

La technologie VPN a été utilisée pour la première fois en 1996. Depuis lors, les entreprises et les gouvernements ont développé de nombreuses méthodes pour identifier l’utilisation des VPN.

Voici les méthodes les plus courantes pour bloquer les services VPN.

• Inspection approfondie des paquets (DPI) : Les autorités peuvent analyser les paquets de données au fur et à mesure qu’ils passent à travers le réseau et essayer d’identifier les motifs uniques (ou l’empreinte digitale) de fonctionnement du trafic VPN. La seule véritable façon d’éviter la détection repose sur les épaules des fournisseurs de VPN et de la technologie qu’ils utilisent pour cacher des motifs identifiables. Pour éviter la détection, la plupart des VPN nouvelle génération utilisent des protocoles de chiffrement pour faire apparaître leur trafic comme des données d’utilisation d’Internet régulières. Une fois l’interdiction en vigueur, les autorités bloqueront très probablement tout trafic chiffré qui ressemble à une utilisation de VPN.
• Blocage des serveurs VPN : Le gouvernement russe dispose déjà d’une liste de sites web et d’adresses IP et il continue de mettre à jour cette liste régulièrement. Les autorités identifient les adresses IP connues associées aux serveurs VPN et bloquent l’accès à ces serveurs. De nombreux fournisseurs de VPN mettent fréquemment à jour et changent leurs adresses IP de serveur pour contourner les interdictions basées sur les serveurs. Identifier et restreindre l’accès aux nouvelles adresses IP et technologies VPN peut ressembler à un jeu du chat et de la souris sans fin pour les autorités.
• Blocage des ports et des protocoles : Les VPN utilisent des ports spécifiques pour leurs protocoles de communication. En identifiant les ports utilisés par les services VPN, les autorités russes peuvent bloquer tous les ports connus dans le but de restreindre le trafic VPN. Cela inclut le blocage des protocoles ou la restriction de l’utilisation de protocoles de communication spécifiques couramment associés au trafic VPN tels que le protocole de tunneling point à point (PPTP), le protocole de tunneling de couche deux (L2TP), la sécurité des protocoles Internet (IPSec) et le protocole de tunneling de socket sécurisé.
• Filtrage DNS : DNS signifie Système de noms de domaine. Les autorités pourraient empêcher une connexion à tous les noms de domaine associés aux services VPN. Les utilisateurs peuvent configurer manuellement les serveurs DNS ou utiliser directement les adresses IP pour contourner cette méthode de restriction.

Pour conclure

L’interdiction des services VPN en Russie est sans surprise. Le gouvernement dispose maintenant des moyens techniques pour identifier et restreindre ces services.