Aprs des annes de procdure lgislative, le texte quasi dfinitif du rglement eIDAS a t approuv par les ngociateurs du trilogue reprsentant les principaux organes de l’UE et sera prsent au public et au Parlement pour approbation avant la fin de l’anne. De nouveaux articles lgislatifs, introduits lors de rcentes runions huis clos et non encore rendus publics, prvoient que tous les navigateurs web distribus en Europe devront faire confiance aux autorits de certification et aux cls cryptographiques slectionnes par les gouvernements de l’UE.
Ces changements largissent radicalement la capacit des gouvernements de l’UE surveiller leurs citoyens en garantissant que les cls cryptographiques contrles par le gouvernement peuvent tre utilises pour intercepter le trafic web crypt travers l’UE. Tout tat membre de l’UE a la possibilit de dsigner des cls cryptographiques distribuer dans les navigateurs web et il est interdit aux navigateurs de rvoquer la confiance dans ces cls sans l’autorisation du gouvernement.
Cela permet au gouvernement de n’importe quel tat membre de l’UE de dlivrer des certificats de site web pour l’interception et la surveillance, qui peuvent tre utiliss contre tous les citoyens de l’UE, mme ceux qui ne rsident pas dans l’tat membre metteur ou qui n’y sont pas connects. Les dcisions prises par les tats membres en ce qui concerne les cls qu’ils autorisent et l’usage qu’ils en font ne font l’objet d’aucun contrle ou quilibre indpendant. Cette situation est d’autant plus proccupante que le respect de l’tat de droit n’a pas t uniforme dans tous les tats membres, avec des cas documents de coercition par la police secrte des fins politiques.
Le texte poursuit en interdisant aux navigateurs d’appliquer des contrles de scurit ces cls et certificats de l’UE, l’exception de ceux qui sont prapprouvs par l’organisme de normalisation informatique de l’UE, l’ETSI. Cette structure rigide serait problmatique pour n’importe quelle entit, mais les organismes de normalisation contrls par les gouvernements sont particulirement susceptibles d’avoir des incitations mal alignes dans le domaine de la cryptographie. L’ETSI, en particulier, a des antcdents inquitants en matire de production de normes cryptographiques compromises et dispose d’un groupe de travail entirement consacr au dveloppement de la technologie d’interception.
L’introduction de ce texte si tard dans le processus lgislatif et huis clos est galement trs proccupante pour les normes dmocratiques en Europe. Bien que l’accord lui-mme ait t annonc publiquement la fin du mois de juin, l’annonce ne mentionne mme pas les certificats de site web, et encore moins ces nouvelles dispositions. Il est donc extrmement difficile pour la socit civile, les universitaires et le grand public d’examiner ou mme de connatre les lois que leurs reprsentants ont approuves lors de runions prives.
Protestation dans les milieux universitaires, la socit civile et l’industrie
Plus de 300 experts et chercheurs en cyberscurit du monde entier ont sign une lettre ouverte appelant l’UE abandonner ces projets et protger le web :
Aprs avoir lu le texte quasi dfinitif, nous sommes profondment proccups par le texte propos pour l’article 45. La proposition actuelle largit radicalement la capacit des gouvernements surveiller la fois leurs propres citoyens et les rsidents de l’UE en leur fournissant les moyens techniques d’intercepter le trafic web crypt, ainsi qu’en sapant les mcanismes de contrle existants sur lesquels les citoyens europens s’appuient.
[…]
Nous vous demandons de reconsidrer ce texte de toute urgence et de prciser que l’article 45 n’interfrera pas avec les dcisions de confiance concernant les cls cryptographiques et les certificats utiliss pour scuriser le trafic web.
Des groupes de la socit civile ont galement soutenu la lettre, notamment l’Internet Society, European Digital Rights (EDRi), l’EFF, Epicenter.works et bien d’autres.
Leurs appels ont galement t relays par des entreprises qui contribuent la construction et la scurisation de l’internet, notamment la Fondation Linux, Mullvad, DNS0.EU et Mozilla, qui ont publi leur propre dclaration.
Quelles sont les prochaines tapes ?
Ce texte doit tre approuv lors de la runion finale du trilogue huis clos Bruxelles le 8 novembre, aprs quoi il sera publi et prsent pour ratification formelle au Parlement europen. Ce vote devrait avoir lieu dans les premiers mois de 2024, mais il est considr comme une formalit, le texte des ngociations en trilogue tant gnralement adopt sans modification.