Plus de trois cents chercheurs en sécurité informatique et cryptographie, ainsi que plusieurs organisations de défense de la vie privée, ont publié une lettre ouverte à l’attention des eurodéputés et du Conseil de l’Europe, jeudi 2 novembre. Ils s’y inquiètent du projet de révision du règlement Electronic Identification, Authentication and Trust Services (eIDAS), qui doit être finalisé d’ici au 8 novembre avant d’être soumis au vote au Parlement européen.
Dans ce texte couvrant de nombreux aspects du fonctionnement des services en ligne, un point en particulier fait l’objet des critiques de spécialistes de la sécurité : son article 45, qui impose de nouvelles contraintes aux navigateurs Web sur la manière dont ils doivent gérer les certificats de sécurité.
Les certificats de sécurité sont des fichiers qui permettent, grâce à une clé cryptographique, aux navigateurs comme Chrome ou Firefox de vérifier qu’un site Web est bien ce qu’il prétend être, et de sécuriser la transmission d’informations telles qu’un mot de passe ou un numéro de carte bancaire. La fiabilité d’un certificat dépend de son émetteur : les « autorités de certification » qui les fournissent se comptent par centaines, dans le monde entier, et jusqu’à présent, les éditeurs de navigateur choisissent ceux auxquels ils accordent leur confiance, selon des critères de sécurité qu’ils définissent eux-mêmes.
Contrôle du trafic Internet
Or la nouvelle mouture du règlement eIDAS demande, dans sa version en cours de finalisation, que les éditeurs de navigateurs considèrent obligatoirement comme « fiables » des autorités de certification qui seront choisies par les membres de l’Union européenne (UE). « Cela signifie que des Etats membres pourraient décider seuls d’imposer [une mesure permettant] de surveiller le trafic Internet de n’importe quel citoyen européen, sans parade possible », écrivent les signataires de la lettre ouverte.
Un gouvernement contrôlant une autorité de certification peut en effet disposer de vastes pouvoirs de surveillance : il pourrait épier et intercepter très facilement de gigantesques quantités de données, ainsi qu’utiliser de faux certificats pour se livrer à des piratages. En 2019, par exemple, Google et Mozilla avaient bloqué dans leur navigateur l’autorité de certification kazakhe Qaznet après avoir constaté que ses certificats étaient utilisés pour intercepter les données de navigations d’internautes dans ce pays. Certaines autorités de certification chinoises sont également bloquées dans Google Chrome pour les mêmes raisons. Imposer l’intégration de certificats de sécurité par l’Europe créerait un précédent sur lequel pourraient s’appuyer des régimes autocratiques, estiment les critiques du texte.
Dès 2021, la fondation Mozilla avait, pour cette raison, soulevé des objections contre le projet de révision eIDAS et son article 45, estimant par ailleurs que l’architecture technique retenue pour les certificats qui seraient imposés par les Etats membres reposait sur une technologie obsolète et possiblement dangereuse.
« Depuis, le texte avait été amendé par le Parlement européen pour intégrer les inquiétudes formulées par les experts », note Gaëtan Leurent, chercheur en cryptographie à l’Institut national de recherche en informatique et en automatique (Inria) et signataire de la lettre ouverte. « Jusqu’à peu, il comportait notamment une phrase qui autorisait les navigateurs Web à prendre des mesures de sécurité qui soient proportionnées, au cas par cas », ce qui offrait aux éditeurs la possibilité de bloquer en urgence une autorité de certification qui leur aurait été imposée, pour raisons de sécurité. « Mais ces adoucissements ont malheureusement disparu du texte lors de la discussion par le trilogue [Commission européenne, Conseil de l’UE et Parlement européen]. »
Les signataires, parmi lesquels des chercheurs des principales universités et grandes écoles européennes (Oxford, Institut Max-Planck, Inria et Ecole polytechnique) et américaines (universités Carnegie Mellon et Stanford), mais aussi des ONG comme la Free Software Foundation ou le projet TOR, appellent les institutions européennes à revoir leur copie. « Le texte proposé par le trilogue ne respecte pas la vie privée des citoyens européens, ni les principes garantissant des communications sécurisées », estiment-ils. Sans l’intégration de garde-fous, il risque plutôt d’augmenter les risques [pour les internautes]. »