lundi 7 mars 2022

L’écosystème de sécurité des sites web protège les individus contre la fraude et la surveillance étatique. Évitons de le détruire.

Main Europe cadenasLa Commission européenne a pris l’initiative de réviser le règlement eIDAS de 2014. Mozilla a déjà exprimé1 son opposition à cette réforme et en particulier à l’introduction des QWAC qui mettrait en danger les mécanismes de contrôle des certificats d’authentification des sites web mis en place il y a de nombreuses années pour protéger ses utilisateurs et utilisatrices. Aujourd’hui, Mozilla et l’EFF publient une lettre ouverte d’experts et expertes en cybersécurité que présente Eric Rescorla, CTO de Firefox, sur le blog sécurité de Mozilla. Nous avons traduit ce billet pour vous :


Le principe n° 4 du Manifeste de Mozilla déclare que la sécurité et la vie privée de chacun sur Internet sont fondamentales et ne doivent pas être facultatives. Nous avons fait de réels progrès sur l’amélioration de la sécurité d’Internet, mais, malheureusement, un projet de législation en discussion au sein de l’Union européenne – le règlement eIDAS – menace de remettre en cause tous ces progrès. Mozilla et de nombreux autres ont sonné l’alarme au cours des derniers mois. Aujourd’hui, des spécialistes de renom en matière de cybersécurité prennent également position, dans une lettre ouverte aux législateurs européens qui met en garde contre les risques que représente eIDAS pour la sécurité du Web.

Les certificats de sites web se trouvent au cœur de la sécurité du Web. Quand vous établissez une connexion à un site web, disons « mozilla.org », cette connexion est protégée par le protocole TLS, mais TLS ne protège que la connexion elle-même : chaque serveur dispose d’un certificat qui garantit que le serveur à l’autre bout est bien « mozilla.org » et non un attaquant se faisant passer pour Mozilla. Les certificats sont émis par des autorités de certification (AC) qui sont responsables de la vérification qu’une entité donnée contrôle bien le site en question.

Une autorité de certification malintentionnée – ou tout simplement une qui n’a pas de pratique sécuritaire – pourrait émettre des certificats non conformes susceptibles d’être utilisés par des personnes malveillantes pour attaquer les connexions des internautes et voler leurs données. Afin de garantir que les AC sont soumises à des standards élevés, chaque navigateur et système d’exploitation majeur administre son propre « programme racine », qui est chargé de contrôler les autorités pour s’assurer qu’elles suivent des pratiques de délivrance satisfaisantes et, le cas échéant, de révoquer des autorités qui ne respectent pas ces pratiques. Depuis 18 ans, Mozilla gère son programme racine en toute transparence, avec des procédures documentées et où chaque proposition d’AC est examinée sur une liste de diffusion publique, garantissant que toute partie intéressée soient entendue.

Le projet de législation européenne menace de rompre cet équilibre. L’article 45.2 du règlement européen eIDAS rend obligatoire la prise en compte d’un nouveau type de certificat appelé certificat d’authentification du site web qualifié (QWAC). Selon ce règlement, les QWAC seraient émis par des prestataires de services de confiance (une autre appellation des AC) et ces PSC seraient approuvés non par les navigateurs mais plutôt par chaque gouvernement d’un des États membres de l’UE. Les navigateurs seraient obligés de faire confiance aux certificats de confiance émis par ces PSC, peu importe qu’ils respectent les spécifications de sécurité du programme racine et cela, sans aucun moyen d’en expulser les AC fautives.

Ce changement affaiblirait la sécurité du Web en empêchant les navigateurs de protéger leurs utilisateurs et utilisatrices des risques de sécurité, tels que les vols d’identité et la fraude financière, auxquels une AC au comportement irrégulier peut aussi les exposer. Pire, l’inclusion forcée des AC dans notre programme racine créerait un précédent pour les agissements des régimes répressifs. Nous avons déjà vu des acteurs étatiques (tel le Kazakhstan) tenter de renforcer leurs capacités de surveillance en contraignant les navigateurs à faire automatiquement confiance à leurs AC. Il s’agit d’une pratique dangereuse auxquels navigateurs et organisations de la société civile ont résisté avec succès jusqu’ici. Cependant, si nous créons un précédent selon lequel les navigateurs web ne peuvent pas exiger que les AC respectent des critères de sécurité, cela pourrait changer rapidement.

Des spécialistes techniques de Mozilla, de l’Internet Society, de l’Electronic Frontier Foundation, ainsi que des organisations de la société civile européenne, se sont tous exprimés sur les conséquences néfastes pour le Web de ces exigences. Aujourd’hui, Mozilla et l’EFF publient une lettre signée par 38 spécialistes en cybersécurité sur le danger de l’article 45.2 pour la sécurité du Web. Elle contient aussi des recommandations sur les moyens que les parlementaires peuvent mettre en œuvre pour éviter ces dangers. La lettre montre pourquoi la communauté de la cybersécurité estime que cette disposition est une menace pour la sécurité du Web et qu’elle crée plus de problèmes qu’elle n’en résout.■




Traduction et relecture : Mozinet, Cajuteq, YD et anonymes

Comme la version originale, cette traduction est disponible sous la licence CC By-SA 3.0.

Crédit illustration : Pixabay (ajoutée par le traducteur).

samedi 12 février 2022

Le jeu de l’amour et des tarifs injustes

Tinder utilise une tarification injuste et tire parti des données sensibles de ses client·e·s pour faire payer certaines personnes jusqu’à 500 % plus cher que les autres. Dites à Tinder qu’il est temps d’être transparente au sujet de ses algorithmes de tarification ! SIGNER LA PÉTITION Bonjour, La  […]

Lire la suite

lundi 20 décembre 2021

Reprenez le contrôle de vos recommandations YouTube

Bonjour, Si vous ressemblez aux membres de l’équipe Mozilla, vous passez certainement beaucoup de temps sur YouTube. Ici, on apprécie énormément tout ce que YouTube peut nous proposer, des tutoriels de bricolage aux vidéos de méditation, en passant par les bandes-annonces de vieux films. Mais on  […]

Lire la suite

samedi 13 novembre 2021

Facebook doit rendre des comptes

C’est le moment de mettre Facebook en face de ses responsabilités. Nous avons besoin de votre aide, pouvez-vous participer ? Faire un don Bonjour, C’est le moment de mettre Facebook face à ses responsabilités ; avec votre aide, nous pouvons enfin lui demander de rendre des comptes. Au cours du  […]

Lire la suite

samedi 6 novembre 2021

Vous avez un témoignage sur Slack à partager ?

Caroline Sinders

Bonjour, Au cours du dernier mois, plus de 10 000 soutiens de Mozilla comme vous ont rejoint la campagne demandant à Slack d’ajouter un bouton de blocage, car personne ne devrait être obligé d’utiliser un outil qui l’expose aux messages insultants et au harcèlement. Caroline Sinders, une ancienne  […]

Lire la suite

samedi 10 juillet 2021

Regrets

YouTube regrets

Bonjour, YouTube est une plateforme idéale pour trouver des tutoriels de bricolage, des cours de yoga ou des vidéos d’animaux mignons. Mais il suffit de peu pour cliquer sur la mauvaise vidéo et tomber dans un cercle vicieux de désinformation, théories du complot et recommandations de vidéos  […]

Lire la suite

lundi 21 juin 2021

La technologie a besoin de héros

Héro (crédit Clker-Free-Vector-Images, Pixabay)

Cher/chère membre de la communauté Mozilla, La technologie a besoin d’un héros. Les antagonistes et les menaces auxquels elle fait face ne sont que trop connus : théories du complot, addictions aux réseaux sociaux, espionnage en ligne… Tout ceci peut vite sembler décourageant. Mais nous avons des  […]

Lire la suite

samedi 5 juin 2021

Ce réseau social présente d’importantes vulnérabilités

Ce ne sont pas des publicités politiques

Attention, Facebook, une nouvelle application débarque. TikTok, le réseau social connu pour ses vidéos de 15 secondes, est la plateforme qui connaît la croissance la plus rapide au monde. En seulement trois ans, elle a attiré 732 millions d’utilisateurs et utilisatrices, soit près d’un tiers des  […]

Lire la suite

samedi 13 février 2021

Cette appli de rencontre respecte-t-elle votre vie privée ?

Confidentialité non incluse, édition Saint-Valentin

Amour, confidentialité, applis de rencontre et sextoys *Confidentialité non incluse, édition spéciale Saint-Valentin    Lire notre guide   Bonjour, Cette semaine nous avons lancé l’édition spéciale Saint-Valentin de notre guide *Confidentialité non incluse. Nous avons passé en revue la  […]

Lire la suite

vendredi 12 février 2021

Voilà le Bulletin de santé d’Internet 2020 !

Un Internet plus sain est possible.

Bonjour, Au cours de cette année difficile pour le monde entier, Internet nous a aidé, mais aussi fait du tort, comme jamais auparavant. Nous avons appris à nos dépens que la santé d’Internet affecte notre santé. Dans une version synoptique du Bulletin de santé d’Internet, traduit en français, nous  […]

Lire la suite

samedi 6 février 2021

Vidéo : transmission des signatures à Apple

Merci, Apple Continuez de défendre la confidentialité

Bonjour, Depuis 2019, Mozilla demande à Apple de prendre une mesure essentielle en matière de protection de la vie privée : empêcher les annonceurs de pouvoir pister les utilisateurs et utilisatrices dans plusieurs applications. Pour cela, nous avons demandé à Apple de réinitialiser son identifiant  […]

Lire la suite

mardi 13 octobre 2020

Arrêtez les suggestions de groupes Facebook

Les recommandations par l’intelligence artificielle font se développer les groupes Facebook, où la désinformation peut se répandre.

Bonjour, Des élections se déroulent aux États-Unis et les groupes Facebook sont un vecteur majeur de désinformation, d’extrémisme et d’autres menaces à l’intégrité électorale.1 Et pour ne rien arranger, les moteurs de recommandation algorithmique de Facebook font activement se développer ces  […]

Lire la suite

vendredi 24 juillet 2020

Facebook et la désinformation

Aujourd’hui, des centaines de milliers de personnes participent à une journée mondiale d’action pour dire à Mark Zuckerberg et à Facebook que nous en avons assez : il est temps d’agir concrètement pour lutter contre les propos haineux et la désinformation sur Facebook. Pouvez-vous envoyer un  […]

Lire la suite

mercredi 15 juillet 2020

Nextdoor : suspendez vos relations avec la police

Le racisme est omniprésent sur Nextdoor. Demandez-leur de suspendre les partenariats avec la police jusqu’à ce qu’ils règlent ce problème.

Les utilisateurs de Nextdoor dénoncent le racisme sur la plateforme depuis des années. Pendant ce temps, la société fait discrètement du pied aux services de police pour qu’ils rejoignent la plateforme. Demandez à Nextdoor de suspendre ses partenariats avec la police.   Signer la pétition    […]

Lire la suite

vendredi 3 juillet 2020

Faites passer le message à Facebook #StopHateForProfit !

Nous appelons les principaux annonceurs de Facebook à cesser de placer des publicités sur Facebook jusqu’à ce que Facebook prenne des mesures concrètes pour lutter contre la haine et la désinformation sur sa plateforme. Pouvez-vous interpeler les annonceurs de Facebook via Twitter et leur demander  […]

Lire la suite

mercredi 24 juin 2020

Zoom vous a écoutés

Pourquoi la sécurité et la confidentialité sont essentielles pour les appels vidéo

Bonjour, Le plus haut niveau de sécurité et de respect de la vie privée devrait être le standard par défaut des technologies grand public, pas un luxe. C’est un principe fondamental chez Mozilla. Et désormais, c’est un principe que Zoom vient réaffirmer. La semaine dernière, la société d’appels  […]

Lire la suite

dimanche 14 juin 2020

Zoom (encore)

Dites à Zoom de proposer le chiffrement de bout en bout à l’ensemble des utilisateurs, qu’ils aient un compte payant ou non.

Tout le monde devrait avoir accès aux fonctionnalités les plus avancées en matière de sécurité ou de vie privée. Dites à Zoom de proposer le chiffrement de bout en bout à l’ensemble des utilisateurs, qu’ils aient un compte payant ou non.   Ajoutez votre nom   Bonjour, Après avoir été critiqué pour  […]

Lire la suite

mercredi 27 mai 2020

Nous avons fait bouger Zoom ! Que faire ensuite ?

Pourquoi la sécurité et la confidentialité sont essentielles pour les appels vidéo

Bonjour, En mars, une grande partie de la population mondiale était confinée, et l’utilisation des plateformes d’appels vidéo (notamment de Zoom) a explosé. Rapidement, nous nous sommes mis au travail pour pointer du doigt les problèmes de sécurité et de confidentialité de ces plateformes. Au cours  […]

Lire la suite

dimanche 17 mai 2020

Votre application d’appels vidéo : flippante, ou pas ?

Quelles sont les meilleures applications d’appels vidéo en matière de confidentialité et de sécurité ?

*Confidentialité non incluse : édition spéciale applications d’appels vidéo   Voir le guide   Bonjour, Mozilla et la vie publique Nous sommes heureux de partager avec vous notre guide *Confidentialité non incluse : édition spéciale applications d’appels vidéo. Nous avons examiné la confidentialité  […]

Lire la suite

mercredi 8 avril 2020

Conseils pour améliorer la confidentialité de vos réunions Zoom

Modifier vos préférences de vie privée dans Zoom : voir les conseils

Bonjour, Pendant de cette pandémie mondiale, la vidéoconférence nous aide à rester en contact. Une tendance notable est le pic soudain du nombre de personnes utilisant Zoom, passant de 10 millions d’utilisateurs quotidiens en décembre à plus de 200 millions d’utilisateurs quotidiens en mars.1 Zoom  […]

Lire la suite

- page 1 de 5