La Russie peut-elle (veut-elle) vraiment se couper de l’Internet mondial ?

D’après des responsables ukrainiens, un câble de fibre optique de la ville de Kherson, dans le sud de l’Ukraine, aurait été mis hors service début mai et redirigé vers un opérateur télécoms séparatiste de Crimée, Miranda Media, filiale du géant Rostelecom créée après l’annexion de la péninsule. Par cet acte, qui permet de réorienter des données transitant sur l’Internet haut-débit hors d’Ukraine vers les régions contrôlées par le Kremlin, la Russie réitère une pratique exercée dans les régions séparatistes du Donbass au lendemain de l’annexion de la Crimée en 2014.

Cette appropriation des infrastructures Internet à l’intérieur des frontières de l’Ukraine est une autre manière pour la Russie d’entériner son contrôle du territoire et d’étendre son contrôle sur la toile.  En témoignent la loi contre les « informations mensongères » du 4 mars – interdisant notamment d’employer les termes de « guerre » ou d’« invasion » pour la situation en Ukraine -, le blocage de Facebook, Twitter, Instagram, de sites d’ONG comme Amnesty International ou même de services numériques comme Chess.com, une plateforme d’échecs en ligne ayant publié une lettre ouverte de champions de la discipline réclamant l’arrêt de la guerre en Ukraine.

Toutefois, les velléités de Moscou concernant un Internet russe, communément appelé le Runet, ne datent pas d’hier. « Il s’agit en réalité de l’accélération d’une tendance du Kremlin à contrôler l’information dans le pays, se donner la possibilité de bloquer des sites Internet et à migrer les technologies sur lesquelles l’infrastructure de l’Internet s’appuie vers son territoire, qui a commencé il y a quelques années », décrit Alena Epifanova, chercheuse en cyberpolitique russe au Conseil allemand des relations étrangères (DGAP), interrogée par inCyber.

Les manifestations anti-Poutine de 2011-2012, tournant autoritaire de la politique numérique russe

Ce tournant autoritaire daterait de 2011-2012, après de grandes manifestions contre le retour de Vladimir Poutine au pouvoir, estime Kevin Limonier, directeur scientifique de l’observatoire de l’infosphère russophone. « C’est à ce moment-là que le pouvoir se rend compte de l’importance des réseaux sociaux », indique-t-il dans les colonnes du média Basta.

Puis vient l’annexion de la Crimée en 2014, après quoi le Kremlin a commencé à bâtir l’infrastructure Internet nécessaire – ou du moins à migrer l’existante vers des acteurs pro-russes. Un an plus tard, est promulguée en Russie une loi qui oblige les plateformes numériques étrangères à héberger sur le sol russe les données des citoyens russes.

En 2016, sont votées les « lois Yarovaya », qui « ont cherché à imposer aux plateformes l’obligation de stocker pendant trois ans les métadonnées de leurs utilisateurs, d’installer des portes dérobées (backdoors) dans leurs applications et de communiquer leurs clés de déchiffrement aux services de sécurité qui en feraient la demande », énumère sur inCyber Christine Dugoin-Clément, professeure affiliée à l’Institut d’administration des entreprises (IAE) de Paris. « En 2016-2017, est même envisagé un projet de loi pour interdire les VPN », ajoute Marie-Gabrielle Bertran, doctorante à l’institut de Géopolitique de la datasphère (Géode), sous la direction de Frédérick Douzet et Kevin Limonier, directeur et directeur adjoint du centre. La Douma (le parlement russe), a, jusqu’alors, toujours rejeté cette idée.

La loi du « Runet souverain », fondation d’un discours isolationniste

Pour autant, si les VPN demeurent autorisés en Russie, « leur usage peut être considéré comme une circonstance aggravante lors d’une enquête initiée par le FSB ou Roskomnadzor, le gendarme russe des télécoms, pour des actes jugés illégaux sur Internet », développe Marie-Gabrielle Bertran.  Comme parler de « guerre » en Ukraine sur le web, depuis le mois de mars dernier. D’ailleurs, « certains VPN, comme le fameux NordVPN, ont fermé leurs serveurs en Russie », poursuit la doctorante.

La législation la plus draconienne survient en 2019, quand est votée la loi dite sur « le Runet souverain », qui « donne les moyens juridiques et administratifs à l’État pour mettre en place une déconnexion totale du Runet » du reste de l’Internet, explique Kévin Limonier. L’une des mesures phares de cette loi impose aux fournisseurs d’accès à Internet d’installer des TSPU, boîtiers fournis par des entreprises proches du pouvoir russe – dont Citadel, une firme de surveillance qui vend ses services à l’étranger – et contrôlés par Roskomnadzor, capables de surveiller les paquets de données entrants et sortants. Ces derniers facilitent la déconnexion du Runet. En parallèle, à l’époque, le Kremlin affirme vouloir effectuer des tests de déconnexion.

Depuis le début de la guerre en Ukraine, en plus de museler les réseaux sociaux, le Kremlin a voulu renforcer son contrôle de l’Internet. Le 6 mars, le média d’opposition biélorusse Nexta révèle que Roskomnadzor imposerait, à partir du 11 mars, plusieurs mesures aux sites officiels, dont l’obligation d’avoir les serveurs de nom de domaines en Russie et plus précisément sous le .ru et d’expurger des sites web le code qui charge des ressources hébergées à l’étranger. « La Russie a commencé à préparer pour se déconnecter de l’Internet mondial », sous-titrait Nexta.

#Russia began active preparations for disconnection from the global Internet

No later than March 11, all servers and domains must be transferred to the #Russian zone. In addition, detailed data on the network infrastructure of the sites is being collected. pic.twitter.com/wOCdRqOJej

— NEXTA (@nexta_tv) March 6, 2022

Roskomnadzor se prépare à différents scénarios de cyberattaques, plaide le Kremlin

« Par ailleurs, il semblerait y avoir des discussions dans les hautes sphères russes autour de l’interdiction du service Tor », croit savoir Marie-Gabrielle Bertran. The Onion Router, ou Tor, est un logiciel qui permet d’accéder à certains sites non indexés par les moteurs de recherche traditionnels – ce qu’on appelle parfois le dark web. Après son blocage par le Kremlin, Twitter, par exemple, a lancé son site miroir (en .onion) pour être accessible via ce type de logiciels. « Le site pour télécharger Tor avait déjà été bloqué en décembre dernier », se rappelle la doctorante.

Malgré toutes ces mesures technico-juridiques du Kremlin pour étendre le contrôle de son Runet, il faut se garder de toute affirmation péremptoire sur une possible déconnexion à l’Internet mondial. Tout d’abord, les mesures prises en mars ne concernent officiellement que les sites administratifs russes. « Il n’est pas prévu de déconnecter l’Internet », a assuré à l’agence Interfax Andrey Chernenko, ministre délégué russe chargé du Numérique. « Il y a des cyberattaques continues sur les sites russes depuis l’étranger [et] nous nous préparons à différents scénarios », ajoute-t-il. Une justification qui fait sens, d’après Alena Epifanova et Marie-Gabrielle Bertran.

Cette dernière a d’ailleurs remarqué que « le gouvernement russe a également mis en place des protections anti-DDoS [Déni de service distribué, une attaque qui consiste à saturer un serveur de requête afin de le faire planter, ndlr] et du geofencing, une technique qui empêche de se connecter aux sites russes, notamment celui du ministère russe de la Défense, sans une adresse IP russe – ou chinoise, d’ailleurs ».

La Russie « loin d’être prête, techniquement, à un isolement numérique »

Stéphane Bortzmeyer, informaticien français, abonde : les mesures prises en mars sont « loin d’une déconnexion russe de l’Internet », affirme-t-il dans un post de blog. Il note d’ailleurs une certaine « hypocrisie » à ce sujet : « Aucun site sur le domaine de premier niveau (TLD) du gouvernement états-unien, .gov, n’utilise de serveurs de noms en dehors de ceux contrôlés par des organisations états-uniennes. Et personne n’accuse le gouvernement des États-Unis de se déconnecter d’Internet. Il applique juste des principes de sécurité (contestables, mais pas absurdes), en évitant les dépendances vers des acteurs extérieurs au pays. »

Certes, la Russie prépare le terrain pour une déconnexion possible. Dans les mesures prises en mars, elle fait un pas de plus dans son ambition de développer son propre système de noms de domaines (DNS). Mais « elle est loin d’être prête, techniquement, à un tel isolement numérique », tranchent d’une seule voix Marie-Gabrielle Bertran et Alena Epifanova.

À titre d’exemple, les tests de déconnexion en 2019, qui ont pourtant été revendiqués par le Kremlin – et couverts par des médias occidentaux – n’ont jamais vraiment eu lieu, affirme Kévin Limonier dans un article du site Data Center Dynamics : « En novembre 2019, des entreprises de télécommunications russes ont déclaré que les tests de dispositifs d’isolement, pourtant très limités, avaient provoqué des ralentissements et des interruptions de service », détaille-t-il. « Alors que les autorités russes annonçaient, au moment de la loi du Runet souverain en 2019, l’ambition d’une infrastructure internet prête à être autonome dès 2021, il n’en a rien été, et il n’en est probablement toujours rien », complète Alena Epifanova.

La « résistance passive » des FAI russes locaux

Et pour cause : « Pour se déconnecter de l’Internet mondial, il faudrait que tous les opérateurs étrangers qui ont des accords de peering avec leurs homologues russes acceptent de ne plus faire transiter de données sur les réseaux russes, ce qui me semble très improbable », juge Marie-Gabrielle Bertran. Mais surtout, le plus gros verrou vient de l’intérieur : contrairement à l’Internet chinois et son Great Firewall ou à l’Internet « halal » iranien, l’Internet russe est très peu centralisé – moins, même, que l’Internet américain ou français, assure Kévin Limonier. Des années 1980-1990 jusqu’aux grandes manifestations de 2011, l’Internet russe s’est développé de manière assez chaotique, grâce à une myriade de fournisseurs d’accès à Internet (FAI), qui n’opèrent parfois que dans une seule ville ou région, et qui utilisent grandement des technologies occidentales. Encore aujourd’hui, « il y a plein de FAI différents et pas de moyen centralisé de contrôle », résume Stéphane Bortzmeyer – encore en 2017, Kévin Limonier comptait plus de 13 000 FAI en Russie, contre une dizaine en France.

Ainsi, les injonctions officielles du Kremlin sont parfois bien loin d’être appliquées par la totalité de ces acteurs, dont certains exercent ce que Kévin Limonier appelle une « résistance passive », en faisant traîner les choses, voire en refusant de se soumettre aux règles à l’échelle locale. Une pratique confirmée par Marie-Gabrielle Bertran : « Les gros FAI sont proches du pouvoir et suivent les directives du Kremlin, commence-t-elle. Mais certains FAI locaux refusent de se soumettre. Ce fut le cas de Firma Svyaz, un opérateur de la ville de Ieïsk, située dans le kraï de Krasnodar, à la suite de la loi sur le Runet souverain, en 2019. » Ce petit FAI du sud-ouest de la Russie a refusé d’acheter à ses frais les boîtiers TSPU, clamant qu’il n’en avait pas les moyens, et a réclamé à Roskomnadzor de lui en fournir gratuitement. L’opérateur et le gendarme russe se sont retrouvés dans un imbroglio juridique, qui se serait conclu avec un accord à l’amiable, indique la doctorante.

Contraintes techniques insurmontables à l’heure actuelle, infrastructures Internet d’une densité telle qu’elles sont difficiles à contrôler et réticence de nombreux acteurs locaux. Voilà un cocktail qui devrait contrecarrer d’éventuels plans d’un Runet déconnecté du reste du monde – si tant est qu’ils existent réellement. Et le récent exode des informaticiens et autres experts de l’IT ne devrait pas arranger les choses…