IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Dernière chance de corriger eIDAS : la loi secrète de l'Union européenne sur l'identification électronique qui menace la sécurité de l'internet
D'après Mozilla

Le , par Jade Emy

8PARTAGES

9  0 
Selon Mozilla, c'est la dernière chance de corriger eIDAS car la loi secrète de l'UE menace la sécurité de l'internet. Plus de 300 experts et chercheurs en cybersécurité du monde entier ont signé une lettre ouverte appelant l'UE à abandonner ces projets et à protéger le web.

Electronic Identification, Authentication and Trust Services (eIDAS) est un règlement de l'Union européenne sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union européenne. eIDAS supervise et régule la signature électronique, les transactions électroniques, pour fournir un moyen sûr aux transactions en ligne comme le transfert électronique de fonds ou les transactions avec les services publics. À la fois, le signataire et le destinataire ont accès à un niveau supérieur de confort et de sécurité.


Voici l'avis de Mozilla concernant eIDAS :

Après des années de procédure législative, le texte quasi définitif du règlement eIDAS a été approuvé par les négociateurs du trilogue représentant les principaux organes de l'UE et sera présenté au public et au Parlement pour approbation avant la fin de l'année. De nouveaux articles législatifs, introduits lors de récentes réunions à huis clos et non encore rendus publics, prévoient que tous les navigateurs web distribués en Europe devront faire confiance aux autorités de certification et aux clés cryptographiques sélectionnées par les gouvernements de l'UE.

Ces changements élargissent radicalement la capacité des gouvernements de l'UE à surveiller leurs citoyens en garantissant que les clés cryptographiques contrôlées par le gouvernement peuvent être utilisées pour intercepter le trafic web crypté à travers l'UE. Tout État membre de l'UE a la possibilité de désigner des clés cryptographiques à distribuer dans les navigateurs web et il est interdit aux navigateurs de révoquer la confiance dans ces clés sans l'autorisation du gouvernement.

Cela permet au gouvernement de n'importe quel État membre de l'UE de délivrer des certificats de site web pour l'interception et la surveillance, qui peuvent être utilisés contre tous les citoyens de l'UE, même ceux qui ne résident pas dans l'État membre émetteur ou qui n'y sont pas connectés. Les décisions prises par les États membres en ce qui concerne les clés qu'ils autorisent et l'usage qu'ils en font ne font l'objet d'aucun contrôle ou équilibre indépendant. Cette situation est d'autant plus préoccupante que le respect de l'État de droit n'a pas été uniforme dans tous les États membres, avec des cas documentés de coercition par la police secrète à des fins politiques.

Le texte poursuit en interdisant aux navigateurs d'appliquer des contrôles de sécurité à ces clés et certificats de l'UE, à l'exception de ceux qui sont préapprouvés par l'organisme de normalisation informatique de l'UE, l'ETSI. Cette structure rigide serait problématique pour n'importe quelle entité, mais les organismes de normalisation contrôlés par les gouvernements sont particulièrement susceptibles d'avoir des incitations mal alignées dans le domaine de la cryptographie. L'ETSI, en particulier, a des antécédents inquiétants en matière de production de normes cryptographiques compromises et dispose d'un groupe de travail entièrement consacré au développement de la technologie d'interception.

L'introduction de ce texte si tard dans le processus législatif et à huis clos est également très préoccupante pour les normes démocratiques en Europe. Bien que l'accord lui-même ait été annoncé publiquement à la fin du mois de juin, l'annonce ne mentionne même pas les certificats de site web, et encore moins ces nouvelles dispositions. Il est donc extrêmement difficile pour la société civile, les universitaires et le grand public d'examiner ou même de connaître les lois que leurs représentants ont approuvées lors de réunions privées.

Protestation dans les milieux universitaires, la société civile et l'industrie

Plus de 300 experts et chercheurs en cybersécurité du monde entier ont signé une lettre ouverte appelant l'UE à abandonner ces projets et à protéger le web :

Après avoir lu le texte quasi définitif, nous sommes profondément préoccupés par le texte proposé pour l'article 45. La proposition actuelle élargit radicalement la capacité des gouvernements à surveiller à la fois leurs propres citoyens et les résidents de l'UE en leur fournissant les moyens techniques d'intercepter le trafic web crypté, ainsi qu'en sapant les mécanismes de contrôle existants sur lesquels les citoyens européens s'appuient.
[...]
Nous vous demandons de reconsidérer ce texte de toute urgence et de préciser que l'article 45 n'interférera pas avec les décisions de confiance concernant les clés cryptographiques et les certificats utilisés pour sécuriser le trafic web.
Des groupes de la société civile ont également soutenu la lettre, notamment l'Internet Society, European Digital Rights (EDRi), l'EFF, Epicenter.works et bien d'autres.

Leurs appels ont également été relayés par des entreprises qui contribuent à la construction et à la sécurisation de l'internet, notamment la Fondation Linux, Mullvad, DNS0.EU et Mozilla, qui ont publié leur propre déclaration.

Quelles sont les prochaines étapes ?

Ce texte doit être approuvé lors de la réunion finale du trilogue à huis clos à Bruxelles le 8 novembre, après quoi il sera publié et présenté pour ratification formelle au Parlement européen. Ce vote devrait avoir lieu dans les premiers mois de 2024, mais il est considéré comme une formalité, le texte des négociations en trilogue étant généralement adopté sans modification.
Source : Mozilla

Et vous ?

Pour ou contre eIDAS (Electronic Identification, Authentication and Trust Services), le règlement de l'Union européenne sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union européenne ?
Pourquoi Mozilla s'acharne autant contre ce projet selon vous ?

Voir aussi :

Le portefeuille d'identification numérique de l'UE arrive, voici ce qu'implique en pratique son utilisation

L'UE déclare la guerre au chiffrement de bout en bout et exige l'accès aux messages privés sur n'importe quelle plateforme au nom de la protection des enfants

L'UE veut procéder à une vérification de l'identité des internautes à l'horizon 2024 et si possible via une carte d'identité numérique pour lutter contre les abus sexuels à l'endroit des enfants

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 09/11/2023 à 10:16
Citation Envoyé par ddoumeche Voir le message
J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.
C'était justement le propos plus ou moins ironique de mon message, les parties centristes qui agitent l'épouvantail de l'extrême droite appliquent désormais en partie ce que les gens aurais penser que l’épouvantail en question ferait s'il était au pouvoir...
4  0 
Avatar de smasper
Membre du Club https://www.developpez.com
Le 07/11/2023 à 21:11
Je suis contre, pour les raisons évidentes évoquées dans cet article. l'UE n'en fait vraiment qu'à sa tête, et en catimini ce qui effectivement n'augure rien de bon. Cette légendaire opacité n'en finit pas de m'inquiéter quant à la nature de nos démocraties.
3  0 
Avatar de melka one
Membre expérimenté https://www.developpez.com
Le 08/11/2023 à 19:41
mettez vous au https c'est plus sécurisé que le http qu'il disait
3  0 
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 09/11/2023 à 10:00
Citation Envoyé par TotoParis Voir le message
Dans un régime d'extrême-droite, ou fasciste, tu serais déjà mort de 2 balles dans la nuque.
Qu'est-ce qu'on peut pas lire comme bêtises de la part des boutonneux d'extrême-gauche en France, sur l'extrême-droite, le fascisme.
Néanmoins, la tentation autoritaire de ces fonctionnaires hors-sol est bien là. Mais rien à voir avec l'extrême-droite, le fascisme.
Avec un régime fasciste probablement, avec un régime juste d'extrême-droite pas forcément. Par exemple il y a en ce moment en Israel un régime d'extrême-droite qui fait des massacres dans la bande de Gaza, mais de nombreux Israéliens on pu manifester sans forcément se faire tirer dessus.

Ensuite, il faudrait me lire correctement : je parle d'une dérive d'extrême droite, voir fasciste ; de la même manière qu'un bateau dérive sur le côté, avant de s'écrouler totalement sur le côté (même si il ne dérive pas beaucoup).
Mis à part un état de guerre ou un régime mis en place à cause d'une révolution, on ne se couche pas en démocratie pour se réveiller avec un régime autoritaire, c'est plus long que ça. Mais comme tu dit qu'il y a une tentation autoritaire, je suppose que l'on est relativement d'accord.

Enfin, mon message était semi-ironique, pour moquer les promesses de l'EU de lutter contre les nationalismes d'extrême-droite, alors que c'est désormais elle qui propose des lois anti droits de l'homme.
3  0 
Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 09/11/2023 à 10:10
J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.
4  1 
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 03/11/2023 à 20:42
L'EU (vous savez, le truc qui protège contre l'extrême droite nationaliste) continue sa dérive... d'extrême droite fasciste
2  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 05/11/2023 à 11:42
"
la loi secrète de l'UE
Une loi secrète? Dans une institution qui se vante être l'exemple numéro 1 de la démocratie dans le monde?

Ces politicards n'auront de cesse de m'étonner
1  0 
Avatar de ludovicdeluna
Membre du Club https://www.developpez.com
Le 08/11/2023 à 19:54
J'ai eu la chance de vivre une faille de sécurité liée au certificat racine d'un éditeur très connu du monde open source qui a été piraté. C'est rare, mais ça arrive. Ce qui m'a le plus impressionné, c'est qu'il a été assez simple d'avoir des infos sur le "comment" et quel service technique contacter. Et le pauvre service en question s'est fait harcelé des jours pour révoquer le certificat.

J'ai été un mouton et j'ai fait pareil, peut-être de façon plus modérée (j'avoue avoir revu ma copie). La réponse renvoyée avec un lien vers le forum de l'équipe disait, en substance, que sans directive de l'entreprise en question, le certificat racine ne peut pas être révoqué. Ils indiquaient d'ailleurs avoir averti bien avant que l'info ne fuite sur Internet.

Et c'est là que j'ai compris que toute cette infrastructure parfaitement sécurisée avait en principal point faible les personnes qui en ont la charge sur le plan politique (et donc financier).

Je lis cette news, et je sais très bien que la même chose arrivera à l'échelle du pays. Mais à la différence de ma mésaventure, il ne suffira pas de désélectionner une mise à jour automatique. On mettra ça sur le même plan que la base de pôle emploie piraté, ou celle d'Ameli (qui me vaut depuis des appels téléphoniques par des bots).

Il y a toutefois une jolie lumière au bout du tunnel : toutes les personnes qui décident n'ont aucunement la compétence pour comprendre la portée de leur décision. Mais ils ont le champ libre, car clairement, ce sujet n’intéresse personne. Néanmoins, quand une faille à l'échelle nationale aura des répercussions concrètes sur une majorité de citoyens, ce sera le problème de tout le monde. On aura toujours les mêmes ignorants, mais ils auront besoin de garanties. Et ce jour-là, le système fera machine arrière en présentant la situation comme une amélioration.

Bref. Wait & see.
1  0 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 09/11/2023 à 17:03
Chaque année qui passe je me demande si l'Allemagne a vraiment perdu la guerre. Quel bel empire alliance cette Europe.
1  0 
Avatar de eddy72
Membre régulier https://www.developpez.com
Le 08/11/2023 à 21:08
fouille des mails OK
mais de tous alors !!!
simple citoyens,
politiciens,
policiers,
avocats,
managers ...
1  1