La proposition de règlement eIDAS prévoit l’introduction obligatoire d’un nouveau système de certification pour les sites web. Les autorités de certification seront désignées par les différents États membres et pourront utiliser des certificats numériques qui ne sont pas universellement partagés. Les navigateurs seront obligés d’utiliser ces certificats.
Alors que le sabordage du projet de loi Chat Control 2.0 semblait acquis, une autre menace se profile à l’horizon. Une fois de plus, tout part d’un projet de loi présenté en Europe, ce Vieux Continent qui, « par définition », doit protéger les droits des citoyens et préserver leur vie privée. Et, une fois de plus, il semble que l' »idée de génie » – incluse dans la proposition eIDAS (voir ci-dessous) – ait germé dans la tête de quelqu’un qui ne s’est pas posé trop de questions et qui, vraisemblablement, ne dispose pas de l’expertise technique nécessaire.
Dans le but déclaré de contrecarrer la présence prédominante de services non européens sur le Web, considérés comme « monopolistiques », l’Union européenne met en place un système qui vise à favoriser les activités des jeunes pousses « locales » et à offrir plus de choix aux consommateurs.
Dans le cadre du programme eIDAS (Electronic IDentification And trust Services), qui introduira l’utilisation d’un portefeuille européen d’identité numérique, une proposition (articles 45 et 45 bis) a vu le jour qui, si elle est approuvée, pourrait compromettre la sécurité et la vie privée de millions, voire de milliards de personnes.
Contenu des articles 45 et 45 bis de la proposition eIDAS
Certaines des principales entreprises fournissant des outils pour la sécurité des données transférées via Internet ont adressé une lettre ouverte aux membres du Parlement européen et du Conseil de l’Union européenne pour exprimer leur inquiétude concernant la proposition législative eIDAS, en soulignant le risque que certains de ses aspects affaiblissent les solutions de sécurité en ligne largement utilisées.
Les articles 45 et 45 bis de la proposition eIDAS imposent en effet à tous les navigateurs web de reconnaître un nouveau type de certificat numérique pour authentifier les sites. Cela impliquerait la reconnaissance par les navigateurs des autorités de certification (AC) qui doivent être désignées par chaque État membre de l’UE.
Les organisations signataires du document soulignent que les listes de magasins racines gérées par les navigateurs et les systèmes d’exploitation constituent le cœur battant de la sécurité de l’internet. Les autorités de certification reconnues figurant dans ces listes attestent de l’authenticité des noms de domaine utilisés pour « livrer » les sites web, contribuant ainsi à la sécurité des communications à l’échelle mondiale, y compris le commerce, le courrier électronique, les communications vocales et vidéo, la messagerie et d’autres modes de communication utilisés par les entreprises.
Qu’est-ce que le « root store » et pourquoi faut-il se méfier des modifications inconsidérées ?
Le terme « root store » désigne un élément fondamental du système de sécurité de l’information basé sur la cryptographie, en particulier en ce qui concerne la sécurité des communications sur l’internet. Le magasin racine rassemble un ensemble de certificats numériques provenant d’autorités de certification de confiance, appelées « autorités racine » ou « autorités de certification racine« , qui sont préinstallés et stockés dans les navigateurs web, les systèmes d’exploitation et d’autres applications qui nécessitent le cryptage des données.
Le système actuel fonctionne, mais il est délicat. Une erreur de la part d’une autorité de certification pourrait compromettre les communications avec n’importe quel site web ou service. La résilience de ce système dépend de plusieurs systèmes interdépendants qui fonctionnent ensemble. Par conséquent, toute intervention sur le système nécessite un examen approfondi et une consultation étendue.
Autorités de certification européennes désignées par les États membres : quelles sont les conséquences ?
Les principales préoccupations sont liées au fait que les articles 45 et 45 bis de l’eIDAS exigeront la reconnaissance par les navigateurs des entités désignées par les États membres de l’Union européenne, même si elles ne répondent pas aux normes de sécurité définies par le CA/Browser Forum. Les navigateurs ne pourront pas spécifier de conditions supplémentaires pour les autorités certifiées, et toutes les exigences devront être fixées par l’Institut européen des normes de télécommunication (ETSI).
Les autorités certifiées répertoriées par les différents États membres seront reconnues dans toute l’Union européenne : une erreur ou une action délibérée d’un État membre pourrait affecter les citoyens de tous les autres pays. Les utilisateurs et les entreprises situés en dehors de l’Europe pourraient également choisir d’utiliser une liste distincte d’autorités certifiées, sans les entrées supplémentaires requises au sein de l’UE. Il en résulterait une fragmentation potentielle du Web, ce que l’on a toujours essayé d’éviter.
D’autre part, le concept de confiance en ligne ne doit pas faire l’objet d’une monopolisation, une question très chère au législateur. Au contraire, il est important qu’il soit basé sur un mécanisme standard, universellement approuvé et partagé.
Pourquoi la solution eIDAS pourrait-elle compromettre la sécurité et introduire une surveillance des utilisateurs ?
Avec Chat Control 2.0, les communications personnelles des utilisateurs, de n’importe quel citoyen, pourraient être auditées. Même sans ordonnance d’un juge et à grande échelle, c’est-à-dire sur chaque appareil de chaque utilisateur européen.
La gestion européenne des certificats « non standard » pourrait conduire à l’introduction d’une forme d’espionnage passif. Si les autorités de certification désignées par les États membres disposaient de pouvoirs étendus ou manquaient de transparence, elles pourraient utiliser les outils en leur possession pour surveiller et intercepter les communications des utilisateurs, compromettant ainsi la vie privée en ligne.
Sans parler de l’introduction possible de vulnérabilités, avec la diffusion de certificats non fiables ou compromis. Les cybercriminels du monde entier les remercieraient.
Mullvad, fournisseur bien connu de solutions VPN, note que la solution proposée dans le règlement eIDAS constitue en fait une « intrusion » dans le processus de certification numérique et qu’elle portera atteinte à l’indépendance et aux garanties de sécurité qui sous-tendent la sécurité des sites web :
- Un certificat contient l’identité du site web et sa clé publique de cryptage et de signature. Il est approuvé par des organismes de confiance qui font l’objet de contrôles réguliers. Ce processus permet aux navigateurs de vérifier que le site visité est authentique, c’est-à-dire qu’il correspond à ce qu’il prétend être. Cela permet d’éviter les attaques de type « man-in-the-middle » et d’établir une connexion cryptée.
- Les articles 45 et 45 bis stipulent que les navigateurs web doivent reconnaître une nouvelle forme de certificat délivré par n’importe quel État membre de l’UE, ce qui pourrait compromettre le cryptage et surtout la fiabilité et la sécurité globales du web.
- Le système proposé implique que les autorités pourraient agir en tant qu’intermédiaires sur l’ensemble du trafic, en décryptant les communications envoyées à l’aide de ces certificats.
Qui sont les signataires de la lettre et que sont les certificats QWAC ?
La lettre ouverte adressée au Parlement européen et au Conseil est signée par des noms tels que Bytecode Alliance, Cloudflare, DNS0.EU, Fastly, Internet Security Research Group, Linux Foundation, Mozilla, Mullvad, OpenSSF et Sigstore.
Le site Security Risk Ahead, développé par Mozilla, résume les risques de la nouvelle législation et présente les certificats QWAC (Qualified Web Authentication Certificate). Il s’agit d’un type de certificat numérique utilisé dans le cadre de la législation européenne sur la signature électronique et l’identification en ligne.
Mozilla définit les certificats QWAC comme des objets offrant un niveau de protection inférieur. Les navigateurs, par exemple, devront soutenir les fournisseurs qui les émettent sans vérifier de manière indépendante leurs pratiques en matière de sécurité. Cela signifie que les certificats QWAC peuvent sembler sûrs, même s’ils sont compromis d’une manière ou d’une autre.