Ce blog sort de son long silence pour un court billet au sujet d’une lecture très intéressante sur les certificats et les tiers de confiance, décrivant en quoi ce modèle est brisé et explorant différentes pistes de réflexion et projets destinés à corriger le tir. Ce billet sera également l’occasion de partager un coup d’humeur.
J’ai un problème avec la notion de « tiers de confiance ». J’ai ce problème depuis que j’ai ouvert Firefox il y a des années (j’aurais pu faire la même manipulation avec tout autre navigateur, je n’ai rien de particulier contre Firefox) et que j’ai listé les certificats pré-embarqués dans une installation par défaut. J’ai découvert d’un seul coup une liste de plusieurs dizaines d’organisations -j’appris du même coup leur existence- dont mon navigateur me demandait -non, plutôt, m’imposait- de leur faire confiance, m’interdisant le fameux opt-in (consentement a priori) qui fait toute la différence entre spam et non-spam, et ne me laissant qu’un vague opt-out (refus explicite).
Face à un site web, le dernier réflexe que j’aurais, c’est bien de demander l’avis d’une société inconnue au bataillon et située à l’autre bout du monde de me prouver que je peux avoir confiance dans l’authenticité du site que je visite. Et c’est pourtant ce qui arrive en permanence : un obscur inconnu s’invite depuis des années dans cette relation de (relative) confiance qui tente de s’établir entre un client et une organisation qu’il connaît, en ligne ou même dans le monde physique (j’admets volontiers qu’à la première connexion, l’internaute ne connaît pas forcément l’entreprise dont il consulte le site web, mais même dans ce cas, un certificat n’apporte rien à la confiance : un mensonge signé reste un mensonge).
Je n’ai jamais compris pourquoi l’on appelle cela « modèle de confiance », alors que l’on éduque précisément les internautes à placer gratuitement leur confiance dans des prestataires dont on sait aujourd’hui, grâce à la multiplication des actualités calamiteuses (Comodo, Diginotar, Trustwave, KPN, Verisign, …) qu’ils n’en ont jamais été dignes. De plus, l’internaute moyen n’a jamais conscience de cette relation de confiance, qui s’établit implicitement, reléguée à son « subconscient numérique » (son navigateur qui fait tout le travail en coulisse). Car il ne faut pas s’y tromper, c’est dans son navigateur que l’internaute a confiance, et pas dans les autorités de certification.
En somme, et j’avais prévenu que ce serait un billet d’humeur, il me semble que les éditeurs de navigateurs se rendent responsables d’un abus de confiance massif et généralisé. Revenons aux fondamentaux : ce modèle nous dit que nous *devons* avoir confiance dans des organisations que nous ne connaissons pas (entreprises, gouvernements étrangers, etc.), et qu’il nous est fortement déconseillé, voire interdit, d’avoir confiance directement dans des organisations que nous connaissons (i.e qui signent elles-mêmes leurs certificats, pratique traînée dans la boue depuis des lustres et qui ne manquera pas de générer un avertissement de sécurité dans le navigateur). N’y a-t-il pas quelque chose qui cloche ?
Je ne parlerai même pas du glissement sémantique qui a petit à petit transformé, dans l’esprit de l’internaute, une preuve d’authenticité en une preuve de légitimité, la présence d’un certificat induisant une confiance indue dans un site qui ne lui veut pas forcément que du bien…
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));