D'après l'EFF, l'article 45 de la réglementation européenne eIDAS 2.0 fera reculer la sécurité du Web de 12 ans. Cela nous ramènerait à l'âge des ténèbres de 2011, lorsque les autorités de certification (AC) pouvaient collaborer avec les gouvernements pour espionner le trafic chiffré et s'en tirer à bon compte. L'EFF avertit que ce serait une catastrophe pour la vie privée de tous ceux qui utilisent l'internet, mais surtout pour ceux qui utilisent l'internet dans l'UE.L'UE est sur le point d'adopter un nouveau règlement radical, eIDAS 2.0. L'article 45, profondément enfoui dans le texte, nous ramène à l'âge des ténèbres de 2011, lorsque les autorités de certification (AC) pouvaient collaborer avec les gouvernements pour espionner le trafic chiffré et s'en tirer à bon compte. L'article 45 interdit aux navigateurs d'imposer des exigences de sécurité modernes à certaines autorités de certification sans l'approbation d'un gouvernement membre de l'UE. Quelles AC ? Plus précisément les autorités de certification désignées par le gouvernement et qui, dans certains cas, sont détenues ou exploitées par ce même gouvernement. Cela signifie que les clés de chiffrement contrôlées par un gouvernement pourraient être utilisées pour intercepter les communications HTTPS dans l'ensemble de l'UE et au-delà.
C'est une catastrophe pour la vie privée de tous ceux qui utilisent l'internet, mais surtout pour ceux qui utilisent l'internet dans l'UE. Les fabricants de navigateurs n'ont pas encore annoncé leurs plans, mais il semble inévitable qu'ils devront créer deux versions de leurs logiciels : une pour l'UE, avec des contrôles de sécurité supprimés, et une autre pour le reste du monde, avec des contrôles de sécurité intacts. On a déjà connu cette situation, lorsque les contrôles à l'exportation sur le chiffrement signifiaient que les navigateurs étaient publiés en deux versions : un chiffrement fort pour les utilisateurs américains, et un chiffrement faible pour tous les autres. Il s'agissait d'une situation fondamentalement inéquitable, dont les répercussions ont fait reculer la sécurité du web de plusieurs décennies.
Le texte actuel de l'article 45 exige que les navigateurs fassent confiance aux autorités de certification désignées par les gouvernements et interdit aux navigateurs d'imposer à ces autorités de certification des exigences de sécurité supérieures à celles approuvées par l'ETSI. En d'autres termes, il fixe une barre supérieure au niveau de sécurité que les navigateurs peuvent exiger des AC, plutôt qu'une barre inférieure. Cela limite à son tour la vigueur de la concurrence que se livrent les navigateurs pour améliorer la sécurité de leurs utilisateurs.
Cette barre supérieure de sécurité peut même interdire aux navigateurs d'appliquer la transparence des certificats, une norme technique de l'IETF qui garantit que l'historique d'émission d'une autorité de certification peut être examiné par le public afin de détecter les malversations. En interdisant l'application de la transparence des certificats, il est beaucoup plus probable que l'espionnage gouvernemental ne soit pas détecté.
Pourquoi est-ce si important ? Le rôle d'une autorité de certification est d'amorcer la communication chiffrée HTTPS avec les sites web en délivrant des certificats. La principale responsabilité de l'autorité de certification est de faire correspondre les noms des sites web avec les clients, de sorte que l'opérateur d'un site web puisse obtenir un certificat valide pour ce site, mais que personne d'autre ne puisse le faire. Si quelqu'un d'autre obtient un certificat pour ce site web, il peut l'utiliser pour intercepter des communications chiffrées, ce qui signifie qu'il peut lire des informations privées telles que des courriels.
On sait que le chiffrement HTTPS est un obstacle à l'espionnage gouvernemental grâce à la fameuse note de la NSA "SSL ajouté et supprimé ici". On sait également que des certificats mal délivrés ont été utilisés par le passé pour espionner le trafic. Par exemple, en 2011, DigiNotar a été piraté et les certificats qui en ont résulté ont été utilisés pour intercepter les courriels de personnes en Iran. En 2015, le CNNIC a émis un certificat intermédiaire utilisé pour intercepter le trafic de plusieurs sites web. Chaque autorité de certification a ensuite fait l'objet d'une méfiance.
La méfiance à l'égard d'une autorité de certification n'est que l'une des extrémités d'un spectre d'interventions techniques que les navigateurs peuvent prendre pour améliorer la sécurité de leurs utilisateurs. Les navigateurs utilisent des "programmes racines" pour contrôler la sécurité et la fiabilité des autorités de certification auxquelles ils font confiance. Ces programmes racines imposent un certain nombre d'exigences allant de "comment le matériel clé doit-il être sécurisé" à "comment la validation du contrôle du nom de domaine doit-elle être effectuée" en passant par "quels algorithmes doivent être utilisés pour la signature des certificats". Par exemple, la sécurité des certificats repose essentiellement sur la sécurité de l'algorithme de hachage utilisé. L'algorithme de hachage SHA-1, publié en 1993, était considéré comme non sécurisé en 2005. Le NIST a interdit son utilisation en 2013. Cependant, les autorités de certification n'ont cessé de l'utiliser qu'en 2017, et ce uniquement parce qu'un navigateur a exigé la suppression de SHA-1 dans son programme racine. Les autres navigateurs ont ensuite suivi, de même que le CA/Browser Forum.
La suppression de SHA-1 illustre le recul des incitations à la sécurité pour les autorités de certification. Une autorité de certification s'adresse à deux publics : ses clients, qui obtiennent des certificats auprès d'elle, et le reste de l'internet, qui lui fait confiance pour assurer la sécurité. Lorsque le moment est venu de relever la barre de la sécurité, l'autorité de certification entend souvent ses clients dire que la mise à niveau est difficile et coûteuse, ce qui est parfois le cas. Cela motive l'autorité de certification à traîner les pieds et à continuer d'offrir une technologie non sécurisée. Mais l'autre public de l'autorité de certification, la population des internautes du monde entier, a besoin qu'elle améliore continuellement la sécurité. C'est pourquoi les programmes racine des navigateurs doivent exiger (et exigent) un niveau de sécurité toujours plus élevé de la part des autorités de certification. Les programmes racine défendent les besoins de leurs utilisateurs afin de pouvoir fournir un produit plus sûr. La sécurité du programme racine d'un navigateur est, d'une manière très réelle, un facteur déterminant de la sécurité du navigateur lui-même.
C'est pourquoi il est si inquiétant que l'eIDAS 2.0 soit sur le point d'empêcher les navigateurs de demander des comptes aux autorités de certification. Il est tout à fait possible d'élever le niveau de sécurité des AC, mais abaisser la barre de façon permanente signifie moins de responsabilité pour les AC et moins de sécurité pour les utilisateurs d'Internet partout dans le monde.
Le texte n'est pas encore définitif, mais il doit être approuvé à huis clos à Bruxelles le 8 novembre 2023.
Source : EFF
Et vous ?
Pensez-vous que les préoccupations de l'EFF sont crédibles ou pertinentes ? Quel est votre avis sur toutes ces réactions sur l'eIDAS 2.0 ?Voir aussi :
Dernière chance de corriger eIDAS : la loi secrète de l'Union européenne sur l'identification électronique qui menace la sécurité de l'internet d'après Mozilla L'UE veut procéder à une vérification de l'identité des internautes à l'horizon 2024 et si possible via une carte d'identité numérique pour lutter contre les abus sexuels à l'endroit des enfants Le portefeuille d'identification numérique de l'UE arrive, voici ce qu'implique en pratique son utilisation 
Envoyé par ddoumeche
