Après avoir vu sa notation abaissée par l’agence Moody’s de Baa1 à Baa2 et après avoir été placée dans la liste grise de Gafi, puis de la liste noire de l’Union européenne, et après avoir chuté brutalement dans le classement du Global Financial Centres Index, après la claque du FMI à Pravind Jugnauth, voilà que celui-ci prépare notre entrée sur la liste noire de Google et Mozilla. Voyons comment Pravind Jugnauth va nous mettre sur la liste noire de ces deux géants :

1. En quoi consiste le projet de l’ICTA ?

L’ICTA a comme objectif de mettre en place un serveur proxy, ce qui pourrait lui permettre de s’immiscer dans le chemin de communication des internautes mauriciens. Concrètement parlant, toute communication adressée à Facebook sera redirigée à son serveur qui pourra avoir accès à absolument tous les échanges avec Facebook, incluant mots de passe, posts publics, messages privés etc.

2. En termes techniques, comment l’ICTA envisage-telle cette redirection du traffic ?

La communication avec Facebook est sécurisée en utilisant un certificat de sécurité signé par une autorité de certification (par exemple DigiCert) au nom de Facebook. Afin de contourner cet élément de sécurité, l’ICTA compte émettre un certificat autosigné, c’est-à-dire un certificat signé par le serveur de l’ICTA qui l’a lui-même émis.

3. En quoi cette certification autosignée de l’ICTA pose-t-elle problème ?

L’ICTA ne représentant pas une autorité de certification, elle expose les internautes aux dérives suivantes :

- Elle ouvre la porte à l’usurpation d’identité digitale, chose intolérable sur le Net.

- La proposition farfelue de l’ICTA va nécessiter qu’elle devienne un intermédiaire entre un internaute mauricien et un serveur, ce qui va obligatoirement compromettre et diluer les propriétés de sécurité des protocoles Internet. Il est évident que cette situation va nous exposer davantage aux logiciels malveillants et aux autres menaces. Dans ces cas, il sera impossible pour les points finaux de communication de distinguer entre les attaques malveillantes et l’ICTA comme partie «autorisée» effectuant cette redirection du trafic.

- Si le certificat autosigné créé par l’ICTA atterrit par malheur entre les mains d’un hacker, celuici pourra l’utiliser pour se faire passer pour quelqu’un d’autre. Une banque par exemple.

4. Comment le projet de l’ICTA a-t-il été accueilli par Google et Mozilla ?

L’ICTA, dont le projet est de mettre en place un serveur proxy, a été tournée en ridicule par Google et Mozilla. Dans sa réponse à la «public consultation» et dans un langage diplomatique, Google et Mozilla ont rappelé à l’instance les rudiments des normes de sécurité sur Internet et l’obligation pour les organisations qui se respectent d’utiliser sur leurs serveurs des certificats de sécurité émis et dûment authentifiés par une autorité de certification, au lieu comme envisagé par l’ICTA, d’un certificat autosigné qui présente énormément de failles de sécurité. Dans leur lettre, Google et Mozilla ont référé l’ICTA à des documents techniques qui élaborent sur ces risques de sécurité, et font bien savoir qu’ils vont bloquer ces certificats autosignés de l’ICTA comme ils l’ont fait dans le cas du Kazakhstan.

5. Que se passera-t-il si l’ICTA fait fi des avertissements de Google ?

Les internautes mauriciens verront un message d’erreur de sécurité lorsque leur demande de connexion est redirigée vers le serveur de l’ICTA leur conseillant de quitter la page de l’ICTA pour des raisons de sécurité – message pas très rassurant pour un pays qui a l’ambition de devenir une plateforme pour la «Data Technology».

À partir de là, il y a au moins trois cas de figure :

- L’utilisateur refuse la connexion et ne se connecte pas à Facebook.

- L’utilisateur accepte la connexion non sécurisée, mais se trouve bloqué par le navigateur de Google et Mozil- la comme prévenu dans leur lettre.

- L’ICTA demande aux utilisateurs d’installer leur certificat autosigné, mais cela aussi est bloqué par le navigateur de Google et Mozilla. On pourrait alors envisager que l’ICTA utilise ses compétences pour créer des alternatives à Google et Mozilla. Elle pourrait par exemple songer à fournir gratuitement des prestations à tous ceux qui veulent se connecter à Facebook en passant par leur serveur avec leur certificat autosigné.

6. Pourquoi ce projet de l’ICTA est-il considéré comme farfelu, voire burlesque ?

Pour bien comprendre que ce que l’ICTA veut faire est non seulement techniquement impossible mais commercialement irréalisable, imaginons un instant que l’instance soit autorisée à rediriger tout le trafic des internautes mauriciens avec le géant du commerce en ligne amazon.com vers un serveur de la Mauritius Revenue Authority. Maurice pourrait avec ce précédent de l’ICTA devenir le hub mondial du commerce en ligne avec collecte de la taxe sur la valeur ajoutée (TVA). Et si Face- book autorise l’ICTA à se substituer à elle, pourquoi est-ce que Maurice ne pourrait pas offrir un service «offshore» d’interception des communications Facebook à l’Inde par exemple – un offshore hub pour la censure ?

7. Cette proposition de l’ICTA : summum de la créativité de nos élus ?

Comment expliquer qu’un régulateur puisse imaginer mettre en place un service qui viole les règles élémentaires de sécurité sur internet ? Cette incompétence mène tout un pays à la ruine à grand pas ! Est-ce que la prochaine grande réalisation de Pravind Jugnauth serait de faire figurer Maurice sur la liste noire de Google et Mozilla ?

Conclusion :

Que ce soit en termes d’irresponsabilité fiscale, de l’explosion insoutenable de la dette publique, de la dilapidation des fonds de la Banque de Maurice, du gaspillage de milliards de roupies dans des projets inutiles et farfelus tels le Data Technology Park de Côte-d’Or, de mauvaise gestion d’entreprises publiques, Pravind Kumar Jugnauth restera dans l’histoire du pays comme le patient zéro de la mauvaise gouvernance.