Le principe n° 4 du Manifeste de Mozilla déclare que la sécurité et la vie privée de chacun sur Internet sont fondamentales et ne doivent pas être facultatives. Nous avons fait de réels progrès sur l’amélioration de la sécurité d’Internet, mais, malheureusement, un projet de législation en discussion au sein de l’Union européenne – le règlement eIDAS – menace de remettre en cause tous ces progrès. Mozilla et de nombreux autres ont sonné l’alarme au cours des derniers mois. Aujourd’hui, des spécialistes de renom en matière de cybersécurité prennent également position, dans une lettre ouverte aux législateurs européens qui met en garde contre les risques que représente eIDAS pour la sécurité du Web.

Les certificats de sites web se trouvent au cœur de la sécurité du Web. Quand vous établissez une connexion à un site web, disons « mozilla.org », cette connexion est protégée par le protocole TLS, mais TLS ne protège que la connexion elle-même : chaque serveur dispose d’un certificat qui garantit que le serveur à l’autre bout est bien « mozilla.org » et non un attaquant se faisant passer pour Mozilla. Les certificats sont émis par des autorités de certification (AC) qui sont responsables de la vérification qu’une entité donnée contrôle bien le site en question.

Une autorité de certification malintentionnée – ou tout simplement une qui n’a pas de pratique sécuritaire – pourrait émettre des certificats non conformes susceptibles d’être utilisés par des personnes malveillantes pour attaquer les connexions des internautes et voler leurs données. Afin de garantir que les AC sont soumises à des standards élevés, chaque navigateur et système d’exploitation majeur administre son propre « programme racine », qui est chargé de contrôler les autorités pour s’assurer qu’elles suivent des pratiques de délivrance satisfaisantes et, le cas échéant, de révoquer des autorités qui ne respectent pas ces pratiques. Depuis 18 ans, Mozilla gère son programme racine en toute transparence, avec des procédures documentées et où chaque proposition d’AC est examinée sur une liste de diffusion publique, garantissant que toute partie intéressée soient entendue.

Le projet de législation européenne menace de rompre cet équilibre. L’article 45.2 du règlement européen eIDAS rend obligatoire la prise en compte d’un nouveau type de certificat appelé certificat d’authentification du site web qualifié (QWAC). Selon ce règlement, les QWAC seraient émis par des prestataires de services de confiance (une autre appellation des AC) et ces PSC seraient approuvés non par les navigateurs mais plutôt par chaque gouvernement d’un des États membres de l’UE. Les navigateurs seraient obligés de faire confiance aux certificats de confiance émis par ces PSC, peu importe qu’ils respectent les spécifications de sécurité du programme racine et cela, sans aucun moyen d’en expulser les AC fautives.

Ce changement affaiblirait la sécurité du Web en empêchant les navigateurs de protéger leurs utilisateurs et utilisatrices des risques de sécurité, tels que les vols d’identité et la fraude financière, auxquels une AC au comportement irrégulier peut aussi les exposer. Pire, l’inclusion forcée des AC dans notre programme racine créerait un précédent pour les agissements des régimes répressifs. Nous avons déjà vu des acteurs étatiques (tel le Kazakhstan) tenter de renforcer leurs capacités de surveillance en contraignant les navigateurs à faire automatiquement confiance à leurs AC. Il s’agit d’une pratique dangereuse auxquels navigateurs et organisations de la société civile ont résisté avec succès jusqu’ici. Cependant, si nous créons un précédent selon lequel les navigateurs web ne peuvent pas exiger que les AC respectent des critères de sécurité, cela pourrait changer rapidement.

Des spécialistes techniques de Mozilla, de l’Internet Society, de l’Electronic Frontier Foundation, ainsi que des organisations de la société civile européenne, se sont tous exprimés sur les conséquences néfastes pour le Web de ces exigences. Aujourd’hui, Mozilla et l’EFF publient une lettre signée par 38 spécialistes en cybersécurité sur le danger de l’article 45.2 pour la sécurité du Web. Elle contient aussi des recommandations sur les moyens que les parlementaires peuvent mettre en œuvre pour éviter ces dangers. La lettre montre pourquoi la communauté de la cybersécurité estime que cette disposition est une menace pour la sécurité du Web et qu’elle crée plus de problèmes qu’elle n’en résout.■




Traduction et relecture : Mozinet, Cajuteq, YD et anonymes

Comme la version originale, cette traduction est disponible sous la licence CC By-SA 3.0.

Crédit illustration : Pixabay (ajoutée par le traducteur).