À la suite de l'invasion tragique et injustifiée de l'Ukraine par la Russie à la fin du mois de février, le monde a regardé avec attention les troupes russes qui tentaient de progresser au sein de l'Ukraine tandis que la population ukrainienne résistait et les repoussait. De la même façon, nous avons assisté à un volume significatif d'activité de cyberattaque dans cette même région. Nous continuons d'œuvrer pour protéger un nombre croissant de sites Web ukrainiens qu'il s'agisse de sites du gouvernement, des médias, de services financiers ou d'organisations à but non lucratif. Nous avons également protégé le domaine ukrainien de premier niveau (.ua) afin de garantir la présence opérationnelle de l'Ukraine sur Internet.
Pendant cette même période, nous avons observé de près une activité intense et sans précédent de l'Internet en Russie. Le gouvernement russe a pris des mesures de durcissement du contrôle qu'il exerce sur l'Internet dans le pays, tant au niveau des composants techniques que du contenu. De son côté, la population en Russie agit de manière tout à fait différente. Elle a adopté des outils qui lui permettent de conserver un accès à la globalité d'Internet et elle cherche des sources d'informations autres que les médias russes. Cet article de blog met en lumière ce que nous avons observé.
Le gouvernement russe impose un contrôle sur Internet
Au cours des cinq dernières années, le gouvernement russe a exercé un contrôle de plus en plus restrictif sur un Internet qu'il souhaitait souverain au sein des frontières de la Russie. Il a même adopté des lois exigeant l'installation par les FAI russes d'équipements grâce auxquels il pourrait surveiller et bloquer l'activité d'Internet, et des lois imposant l'établissement d'un DNS russe exclusif (en dehors de l'ICANN). Ce sont autant de mécanismes qui ont été créés pour que le gouvernement russe contrôle la manière dont la Russie est connectée à l'Internet mondial, et qu'il puisse le déconnecter s'il le souhaite.
Depuis l'invasion de l'Ukraine par la Russie, le gouvernement russe a diffusé une série d'annonces liées à l'application de ses lois pour un Internet souverain. Les agences gouvernementales russes ont reçu l'ordre de passer à des serveurs DNS russes, de déplacer les ressources publiques vers des services d'hébergement russes et de prendre un certain nombre de mesures pensées pour réduire la dépendance à des fournisseurs non russes. Certains ont interprété ces initiatives comme l'annonce d'une volonté de la Russie de se déconnecter de l'Internet mondial, toutefois, jusqu'à présent le pays ne semble pas avoir utilisé ces outils pour aller au bout de ce projet. D'après nos observations, il reste des connexions passant par des infrastructures non russes et toujours actives.
Pendant ce temps, les autorités en Russie ont mis en œuvre une série d'actions de blocage ciblées contre des sites Web et des opérateurs qu'ils jugent répréhensibles. Au départ, les autorités ciblaient des sites de médias sociaux populaires tels que Facebook, Instagram et Twitter, ainsi que les organes de presse en langue russe situés en dehors du pays.
Ces blocages sont visibles à l'évolution du trafic en provenance d'utilisateurs russes vers différents sites Web d'actualité en Russie et en Ukraine, avant et après la mise en œuvre de ces blocages.
Dans chacun des cas, ces nouveaux sites ont vu leur trafic augmenter de manière exponentielle pendant quelques jours autour du 24 février, date de l'invasion de l'Ukraine. Cette augmentation a été suivie au bout de quelques jours d'actions de blocage du trafic vers ces sites. Au début, pendant quelques semaines, ces blocages n'ont pas tous abouti, cependant tous ont fini par réussir à refuser l'accès aux sources d'informations sur l'actualité qui provenaient de canaux Internet classiques.
Mais l'histoire ne s'arrête pas là. À mesure que le gouvernement russe prenait des mesures visant à contrôler ces canaux traditionnels d'accès à Internet, les Russes ont beaucoup évolué dans la manière dont ils utilisaient Internet.
Les citoyens russes à la recherche d'outils leur permettant d'accéder à l'Internet ouvert
Les Russes ont adopté des applications et des outils qui leur permettent de se connecter à Internet de manière confidentielle, en évitant certains des mécanismes mis en place par le gouvernement russe pour contrôler et surveiller l'accès à Internet. Si dans la plus grande partie du monde au mois de mars les applications les plus populaires dans l'Apple App Store continuaient de concerner les médias sociaux et les jeux, le classement en Russie était tout autre.
Les applications les mieux classées en Russie en mars étaient toutes liées à l'accès confidentiel et sécurisé à Internet ou à des applications de messagerie chiffrée. L'application la plus téléchargée était le propre WARP / 1.1.1.1 de Cloudflare (un résolveur DNS récursif préservant la confidentialité). La liste des applications populaires contraste prodigieusement avec tous les autres pays du monde.
Devant cette popularité de WARP (1.1.1.1) aussi importante que lourde de sens, nous avons ajouté des observations détaillées sur la manière dont tout cela s'est déroulé. En regardant en arrière, au début du mois de février, nous observons que l'outil WARP de Cloudflare était très peu utilisé en Russie. Il faut attendre le premier week-end de guerre pour que son utilisation décolle, avant d'atteindre son maximum il y a deux semaines. Plus tard, lorsque la migration virtuelle vers de tels outils sécurisés est devenue apparente, nous avons constaté des tentatives de blocage de l'accès à ces outils utilisés pour accéder de manière sécurisée à Internet.
Les niveaux ont baissé depuis le pic, cependant, un grand nombre de Russes continuent d'utiliser Cloudflare Warp en Russie à des niveaux bien supérieurs à ce qu'ils étaient avant la guerre.
Non seulement les Russes ont de plus en plus recours à des communications privées et chiffrées pour utiliser Internet, mais nous avons également constaté une évolution dans le contenu auquel ils tentent d'accéder. Voici un tableau des requêtes DNS provenant d'utilisateurs russes pour un journal américain bien connu. Récemment, le trafic DNS pour ce site a quintuplé par rapport à ce qu'il était avant la guerre, ce qui indique que les Russes tentent d'accéder à cette source d'informations.
Et voici le trafic DNS en direction d'un grand site d'informations français. Là aussi, les recherches DNS ont énormément augmenté à mesure que les Russes essayaient d'y accéder.
Et voici un journal britannique.
Les trois tableaux illustrent un état de la situation sans équivoque. Les Russes souhaitent accéder à des sources d'informations non russes et si l'on en croit la popularité des VPN et outils d'accès à l'Internet privé, ils sont prêts à s'en donner les moyens.
En première ligne contre les cyberattaques
En plus des services que nous avons été en mesure de fournir aux citoyens ordinaires en Russie, nos serveurs de périphérie de l'Internet dans le pays nous ont également permis de détecter et de bloquer des attaques qui en sortaient. Lorsque les attaques sont atténuées à l'intérieur de la Russie, elles ne sortent jamais des frontières russes. Tel a toujours été , en partie, l'objectif du réseau distribué de Cloudflare : identifier et bloquer les cyberattaques (en particulier les attaques DDoS) localement, et avant qu'elles ne puissent sortir du pays.
Voilà a quoi ressemble l'activité DDoS provenant de Russie et bloquée par Cloudflare depuis le début du mois de février. L'activité DDoS normale provenant des réseaux russes et bloquée par les serveurs de Cloudflare est relativement faible pendant tout le mois de février, mais elle augmente radicalement au milieu du mois de mars.
Que les choses soient claires, la capacité d'identifier l'origine du trafic lié aux cyberattaques n'implique pas celle de déterminer l'endroit dans lequel se situe l'acteur malveillant lui-même. Il est difficile d'attribuer des cyberattaques à un acteur précis, et plus que jamais il convient d'être très précis dans cette attribution. Les auteurs de cyberattaques lancent très souvent leurs attaques depuis des lieux éloignés dans le monde entier. Il s'agit d'une pratique fréquente lorsqu'ils sont capables de détourner des appareils dans d'autres pays par des moyens tels que la corruption dans l'Internet des objets (IdO).
Toutefois, malgré la possibilité d'un tel subterfuge, nous avons constaté une augmentation du nombre de blocages d'attaques qui arrivaient sur nos serveurs à l'intérieur de la Russie.
Il y a quelques semaines, peu après le début de l'invasion de l'Ukraine, j'ai remarqué que « La Russie avait besoin de plus d'Internet, et non l'inverse. » En ces temps de sanctions économiques sans précédents de la part des États-Unis et de l'Europe, les entreprises étrangères se trouvant en Russie ont été exhortées à aller plus loin encore en quittant le pays, les fournisseurs d'accès à Internet ont même été incités à déconnecter la Russie. Pour être honnête, l'activité commerciale de Cloudflare en Russie est minime (nous n'avons jamais disposé d'entreprise, de bureau ni d'employé sur place), et nous avons veillé à n'avoir aucune taxe ni revenu à payer au gouvernement russe. Cependant, nos services jouent un rôle important dans la disponibilité et la sécurité d'Internet, par conséquent, il nous semble que les effets d'une suppression totale de nos services en Russie seraient plus négatifs que positifs.
Nous comprenons tout à fait ce qui motive les appels à quitter la Russie adressés aux entreprises, ce retrait des entreprises de l'Internet peut toutefois donner lieu à des retombées délétères en confortant les intérêts du gouvernement russe qui cherche à contrôler l'Internet dans le pays. L'ICANN et le RIPE cherchent à couper la Russie de l'Internet mondial, mais cela aura pour unique conséquence de couper les Russes des informations concernant la guerre en Ukraine, ces informations auxquelles le gouvernement russe souhaite précisément qu'ils n'aient pas accès. Lorsqu'un certain nombre d'autorités de certification américaines ont cessé d'émettre des certificats SSL pour les sites Web russes, la Russie a réagi début mars en invitant les citoyens russes à télécharger un certificat auprès d'une autorité de certification racine russe à la place. Comme l'observait l'EFF, « les mesures prises par l'État de Russie pour maintenir ses services en activité sont autant de moyens d'espionner les Russes, aujourd'hui et à l'avenir. »
C'est pourquoi les experts du monde entier sont quasiment unanimes, il est impératif que l'Internet russe demeure le plus ouvert possible pour la population russe. Des dizaines de groupes de la société civile ont imploré les gouvernements à déjouer les actions autoritaires et à « faire en sorte que les sanctions et autres mesures adoptées dans le but de désavouer les actions illégales du gouvernement russe ne produisent pas des effets contraires à ceux attendus, en renforçant Vladimir Poutine dans sa volonté de contrôler l'information. ». Des activistes des droits numériques russes ont plaidé auprès des fournisseurs de services pour que soit offert aux Russes un accès VPN gratuit, afin qu'ils ne soient pas isolés des sources d'actualité internationales. Même le département d'État des États-Unis l'a déclaré, « Il est primordial de maintenir la circulation des informations avec la population russe et ce, dans toute la mesure du possible. »
Œuvrant dans le sens de notre mission, qui consiste à contribuer à bâtir un Internet meilleur, notre équipe a été très occupée pendant ces six semaines à suivre ces évolutions et à travailler 24 heures sur 24 pour veiller à ce que les propriétés web ukrainiennes soient défendues et à ce que les citoyens russes ordinaires puissent accéder à l'Internet mondial. Nous restons admiratifs des Ukrainiens qui résistent courageusement et défendent leur patrie et nous gardons l'espoir de voir la paix régner.
