RuNet et le reste du monde

Leur paternité est attribuée, et parfois revendiquée, par des acteurs aussi bien russes qu’ukrainiens, officiels ou bien moins formels. Parmi ces intervenants, se trouvent des groupes de hackers, l’IT army ukrainienne[2] ou encore les Anonymous[3].

De son côté, Roskomnadzor, le Service fédéral de supervision des communications, des technologies de l’information et des médias de masse, qui avait déjà bloqué Facebook et Twitter le 11 mars 2022[4], a annoncé la suspension d’Instagram à partir du 14 mars[5].

Outre ces restrictions d’accès aux contenus informationnels, la loi sur la diffusion et la rediffusion de fausses nouvelles concernant la guerre a été durcie, rendant leurs auteurs passibles de 15 ans de prison[6].

Par ailleurs, les sanctions occidentales participant à l’isolement russe d’un point de vue économique contribuent à accroître le risque de réduction d’accès à Internet de la population. C’est dans ce contexte que la Russie semble vouloir se couper du réseau Internet mondial[7], souhait matérialisé par plusieurs demandes faites auprès des acteurs de l’Internet. Dans le prolongement des lois de 2016 et de 2019, quelles sont la faisabilité et les conséquences de cette aspiration à déconnecter le Ru.Net, l’Internet russe, de l’Internet mondial ?

Un contexte législatif destiné à contrôler l’Internet

Depuis de nombreuses années, la question de la liberté d’Internet et de son contrôle est rémanente dans une Russie qui, tout en contrôlant étroitement les médias, tolérait un relatif espace de liberté sur Internet. Ainsi, en 2014, une première législation a imposé aux plateformes et aux opérateurs d’héberger les données des personnes physiques ou morales russes sur le territoire national[8]. Par la suite, en 2016, les lois dites « lois Yarovaya »[9] ont cherché à imposer aux plateformes l’obligation de stocker pendant 3 ans les métadonnées de leurs utilisateurs, d’installer des back doors (ou portes dérobées) dans leurs applications et, surtout, de communiquer leurs clés de déchiffrement aux services de sécurité qui en feraient la demande. Promulguée en 2019, la loi du RuNet souverain[10] prévoit la création d’une sorte de porte de contrôle de l’espace numérique. Pour répondre à cette obligation, les FAI et opérateurs doivent installer des TSPU, appareils destinés à « lutter contre les menaces » et contrôlés par Roskomnadzor sur les points nodaux de leur réseau. Plusieurs chercheurs soulignent que les TSPU[11] permettent de surveiller les paquets de données entrants et sortants, conformément à la loi RuNet souverain, et facilitent la déconnexion du segment russe dans le cas où le pouvoir central souhaiterait répondre, notamment à des « menaces extérieures ».

Isolement du RuNEt et actions récentes

Dans le prolongement de ces textes, le ministère russe des Télécommunications a donné des instructions aux administrateurs de sites et des ressources Internet[12]. Il s’agit pour ces organismes de rechercher des serveurs DNS situés en Russie, d’enregistrer un nom de domaine dans la zone « .ru », d’expurger les codes javascript qui facturent les « ressources étrangères » et d’héberger leurs sites sur des serveurs situés sur le territoire russe[13]. Cette volonté manifeste de réorganiser les ressources Internet dans un espace contrôlé par le pouvoir n’empêche pas la Russie d’accéder à l’Internet mondial mais permet au Kremlin de conserver la maîtrise de son réseau et, s’il le décide, de bloquer tout ou partie des trafics, officiellement pour contenir des cyberattaques, mais aussi faciliter la surveillance des contenus.

Par ailleurs, en compliquant l’accès aux sites Web, les sanctions occidentales impactent le renouvellement des certificats de sécurité TLS (Transport Layer Security) alors que les navigateurs bloquent les sites dont les certificats ont expiré. Pour mémoire, le TLS est un protocole de sécurisation d’Internet via le chiffrement des données qui circulent entre le navigateur de l’utilisateur, les sites Web visités et le serveur du site. C’est ainsi que les TLS préservent la confidentialité de la transmission des données et en empêchent la modification, la perte ou encore le vol[14].

En réponse, le Kremlin a annoncé la création d’une autorité de certification nationale des protocoles de sécurité Internet, facteurs clés d’une navigation sécurisée sur le Web, des e-mails, des messageries instantanées et plus largement des supports utilisés pour fournir des connexions HTTPS sûres. Dans cette configuration, le contrôle de la Russie sur les TLS/SSL pourrait accroître la capacité de censure de Moscou à qui il serait plus facile d’intercepter, mais aussi de déchiffrer et d’espionner les connexions chiffrées à l’aide des certificats émis par le gouvernement.

En ce sens, le gouvernement russe a publié cette semaine un message sur son portail de services publics, Gosuslug[15] indiquant que l’État russe fournira, gratuitement et dans un délai de cinq jours, un certificat de sécurité électronique qui se substituera aux certificats de sécurité étrangers expirés ou révoqués en raison des sanctions occidentales, de leur refus de soutenir les clients russes.

Autre facteur d’isolement du RuNet mais indépendant de la volonté russe, Cogent Communications[16] et Lumen Technologies[17], entreprises à la tête de plusieurs des plus importantes « dorsales » (ou backbone) d’Internet, ont décidé de ne plus assurer le transport du trafic pour les structures basées en Russie[18]. Si cette décision ne signifie pas que la Russie n’a plus accès à Internet, une part importante de la bande passante du trafic n’y est plus accessible alors même que, tant qu’ils ne sont pas situés en Russie, Cogent continue de fournir des services aux avant-postes des principaux FAI russes[19].

Selon Kentik, ces décisions se sont traduites par une baisse sensible du trafic global, diminution qui demeure cependant relative d’autres transitaires comme Lumen ou Vodafone étant encore actifs au moment de ce constat[20]. Cependant, au-delà l’effet obtenu, le fait qu’un opérateur dorsal prenne ce type de décision à l’échelle d’un territoire aussi vaste que la Russie constitue une première dans la jeune histoire de l’Internet.

Comme la loi de 2019 la laissait déjà supposer, cette limitation d’accès imposée aux utilisateurs russes a ravivé la menace, régulièrement agitée par le Kremlin, de « débrancher » son Internet. Cependant, si elle venait à se concrétiser, cette décision affecterait, notamment économiquement, une large part de la population, près de 85% des russes utilisant habituellement Internet[21].  Il reste que, bien que les demandes relatives aux migrations de sites et de services vers le territoire national puissent être un premier pas vers un Internet national, la Russie devrait alors réussir à surmonter les écueils rencontrés en 2019 lors de la tentative de coupure du réseau.

Par ailleurs, pour continuer de communiquer avec d’autres pays, la Russie devra garder un minimum de liens avec l’Internet mondial même s’il s’agit d’un cadre choisi.

Enfin, en prenant en considération les modalités d’utilisation des TSPU, il conviendra de garder, a minima, la maîtrise des principaux Systèmes Autonomes (AS) qui obéissent à leurs propres politiques internes de gestion. Ces AS, qui peuvent être des FAI ou des réseaux de grandes structures, ne sont pas tous contrôlés par l’État. En pratique, les Border Gateway Protocol (BGP) relient les différents sous-réseaux, les SA, qui composent l’Internet. Afin de contrôler l’Internet il faudrait donc maîtriser, en premier lieu, les nœuds les plus importants, à savoir les SA où convergent la majorité des routes BGP. Si ces AS appartiennent à de grands FAI fédéraux, tels que Rostelecom ou Megafon, alors le contrôle est assez aisé à mettre en place. Il n’en demeure pas moins que la Russie, contrairement à l’Iran[22], dispose d’une multiplicité de routes BGP, situation qui contribue à complexifier une politique d’isolation du RuNet. Néanmoins, la Russie, qui a passablement condensé les routes BGP vers des AS, a effectué, des tests de déconnexion les 15 juin et 15 juillet 2021. Cet « aplanissement des réseaux » ne concerne cependant pas uniquement la Russie. Ainsi, reste en suspens la question de savoir si ce processus est suffisant pour que Moscou puisse isoler son Internet du reste du monde, exception faite de certains sites, notamment gouvernementaux, sur lesquels le Kremlin a totalement la main.

Enfin, outre les difficultés techniques, Moscou devra faire accepter cette coupure, qui risque de mécontenter d’autant plus la population qu’elle subit déjà la récente interdiction d’Instagram, fréquemment utilisé comme interface commerciale par de nombreux Russes, et que les sanctions occidentales contre la Russie vont bientôt l’affecter au quotidien.