Dans une lettre ouverte publiée jeudi, plusieurs centaines de spécialistes de la sécurité et de la cryptographie contestent un texte bientôt soumis au vote au Parlement européen, parce qu’il impose aux navigateurs Web d’utiliser certains certificats de sécurité sélectionnés par les Etats membres.

Plus de trois cents chercheurs en sécurité informatique et cryptographie, ainsi que plusieurs organisations de défense de la vie privée, ont publié une lettre ouverte ( https://eidas-open-letter.org/ ) à l’attention des eurodéputés et du Conseil de l’Europe, jeudi 2 novembre. Ils s’y inquiètent du projet de révision du règlement Electronic Identification, Authentication and Trust Services (eIDAS https://digital-strategy.ec.europa.eu/fr/policies/discover-eidas ), qui doit être finalisé d’ici au 8 novembre avant d’être soumis au vote au Parlement européen.

Dans ce texte couvrant de nombreux aspects du fonctionnement des services en ligne, un point en particulier fait l’objet des critiques de spécialistes de la sécurité : son article 45, qui impose de nouvelles contraintes aux navigateurs Web sur la manière dont ils doivent gérer les certificats de sécurité.

Les certificats de sécurité sont des fichiers qui permettent, grâce à une clé cryptographique, aux navigateurs comme Chrome ou Firefox de vérifier qu’un site Web est bien ce qu’il prétend être, et de sécuriser la transmission d’informations telles qu’un mot de passe ou un numéro de carte bancaire. La fiabilité d’un certificat dépend de son émetteur : les « autorités de certification » qui les fournissent se comptent par centaines, dans le monde entier, et jusqu’à présent, les éditeurs de navigateur choisissent ceux auxquels ils accordent leur confiance, selon des critères de sécurité qu’ils définissent eux-mêmes.
Contrôle du trafic Internet

Or la nouvelle mouture du règlement eIDAS demande, dans sa version en cours de finalisation, que les éditeurs de navigateurs considèrent obligatoirement comme « fiables » des autorités de certification qui seront choisies par les membres de l’Union européenne (UE). « Cela signifie que des Etats membres pourraient décider seuls d’imposer [une mesure permettant] de surveiller le trafic Internet de n’importe quel citoyen européen, sans parade possible », écrivent les signataires de la lettre ouverte.

Un gouvernement contrôlant une autorité de certification peut en effet disposer de vastes pouvoirs de surveillance : il pourrait épier et intercepter très facilement de gigantesques quantités de données, ainsi qu’utiliser de faux certificats pour se livrer à des piratages. En 2019, par exemple, Google et Mozilla avaient bloqué ( https://venturebeat.com/security/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/ ) dans leur navigateur l’autorité de certification kazakhe Qaznet après avoir constaté que ses certificats étaient utilisés pour intercepter les données de navigations ( https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html ) d’internautes dans ce pays. Certaines autorités de certification chinoises sont également bloquées dans Google Chrome pour les mêmes raisons ( https://venturebeat.com/security/google-and-mozilla-decide-to-ban-chinese-certificate-authority-cnnic-from-chrome-and-firefox/ ). Imposer l’intégration de certificats de sécurité par l’Europe créerait un précédent sur lequel pourraient s’appuyer des régimes autocratiques, estiment les critiques du texte.

Dès 2021, la fondation Mozilla avait, pour cette raison, soulevé des objections ( https://blog.mozilla.org/netpolicy/2021/11/04/mozilla-publishes-position-paper-on-the-eu-digital-identity-framework/ ) contre le projet de révision eIDAS et son article 45, estimant par ailleurs que l’architecture technique retenue pour les certificats qui seraient imposés par les Etats membres reposait sur une technologie obsolète et possiblement dangereuse. La fondation a cosigné jeudi un autre texte, aux côtés de la fondation Linux ou de l’entreprise américaine Cloudflare, qui mentionne des inquiétudes similaires. « Le système actuel fonctionne (…), mais il est aussi délicat », écrivent ces organisations. Si l’article 45 est adopté en l’état, « une erreur de jugement, ou une action délibérée d’un seul Etat membre, pourraient affecter les citoyens de toute l’Union européenne ».

« En tant qu’Européen, je comprends très bien que l’Europe souhaite avoir le contrôle sur certaines parties de l’infrastructure d’Internet, explique au Monde Sylvestre Ledru, le responsable de l’ingénierie chez Mozilla. Mais en tant qu’ingénieur, je sais que dans ce cas précis la solution technique retenue n’est pas la bonne. »

« Le texte avait été amendé par le Parlement européen pour intégrer les inquiétudes formulées par les experts », note de son côté Gaëtan Leurent, chercheur en cryptographie à l’Institut national de recherche en informatique et en automatique (Inria) et signataire de la lettre ouverte. « Jusqu’à peu, il comportait notamment une phrase qui autorisait les navigateurs Web à prendre des mesures de sécurité qui soient proportionnées, au cas par cas », ce qui offrait aux éditeurs la possibilité de bloquer en urgence une autorité de certification qui leur aurait été imposée, pour raisons de sécurité. « Mais ces adoucissements ont malheureusement disparu du texte lors de la discussion par le trilogue [Commission européenne, Conseil de l’UE et Parlement européen]. »

La version du texte retenue par le trilogue a également surpris M. Ledru. « Depuis 2021, il y a eu un vrai dialogue, je me souviens avoir assisté à une réunion à Bruxelles avec des représentants de tous les éditeurs de navigateurs et des eurodéputés. Mais les discussions du trilogue n’étant pas publiques, on ignore ce qui a pu se passer. »

Les signataires de la lettre ouverte, parmi lesquels des chercheurs des principales universités et grandes écoles européennes (Oxford, Institut Max-Planck, Inria et Ecole polytechnique) et américaines (universités Carnegie Mellon et Stanford), mais aussi des ONG comme la Free Software Foundation ou le projet TOR, appellent les institutions européennes à revoir leur copie. « Le texte proposé par le trilogue ne respecte pas la vie privée des citoyens européens, ni les principes garantissant des communications sécurisées », estiment-ils. Sans l’intégration de garde-fous, il risque plutôt d’augmenter les risques [pour les internautes]. »
— Permalink