IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans
Ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF

Le , par Jade Emy

7PARTAGES

6  0 
D'après l'EFF, l'article 45 de la réglementation européenne eIDAS 2.0 fera reculer la sécurité du Web de 12 ans. Cela nous ramènerait à l'âge des ténèbres de 2011, lorsque les autorités de certification (AC) pouvaient collaborer avec les gouvernements pour espionner le trafic chiffré et s'en tirer à bon compte. L'EFF avertit que ce serait une catastrophe pour la vie privée de tous ceux qui utilisent l'internet, mais surtout pour ceux qui utilisent l'internet dans l'UE.

L'UE est sur le point d'adopter un nouveau règlement radical, eIDAS 2.0. L'article 45, profondément enfoui dans le texte, nous ramène à l'âge des ténèbres de 2011, lorsque les autorités de certification (AC) pouvaient collaborer avec les gouvernements pour espionner le trafic chiffré et s'en tirer à bon compte. L'article 45 interdit aux navigateurs d'imposer des exigences de sécurité modernes à certaines autorités de certification sans l'approbation d'un gouvernement membre de l'UE. Quelles AC ? Plus précisément les autorités de certification désignées par le gouvernement et qui, dans certains cas, sont détenues ou exploitées par ce même gouvernement. Cela signifie que les clés de chiffrement contrôlées par un gouvernement pourraient être utilisées pour intercepter les communications HTTPS dans l'ensemble de l'UE et au-delà.

C'est une catastrophe pour la vie privée de tous ceux qui utilisent l'internet, mais surtout pour ceux qui utilisent l'internet dans l'UE. Les fabricants de navigateurs n'ont pas encore annoncé leurs plans, mais il semble inévitable qu'ils devront créer deux versions de leurs logiciels : une pour l'UE, avec des contrôles de sécurité supprimés, et une autre pour le reste du monde, avec des contrôles de sécurité intacts. On a déjà connu cette situation, lorsque les contrôles à l'exportation sur le chiffrement signifiaient que les navigateurs étaient publiés en deux versions : un chiffrement fort pour les utilisateurs américains, et un chiffrement faible pour tous les autres. Il s'agissait d'une situation fondamentalement inéquitable, dont les répercussions ont fait reculer la sécurité du web de plusieurs décennies.


Le texte actuel de l'article 45 exige que les navigateurs fassent confiance aux autorités de certification désignées par les gouvernements et interdit aux navigateurs d'imposer à ces autorités de certification des exigences de sécurité supérieures à celles approuvées par l'ETSI. En d'autres termes, il fixe une barre supérieure au niveau de sécurité que les navigateurs peuvent exiger des AC, plutôt qu'une barre inférieure. Cela limite à son tour la vigueur de la concurrence que se livrent les navigateurs pour améliorer la sécurité de leurs utilisateurs.

Cette barre supérieure de sécurité peut même interdire aux navigateurs d'appliquer la transparence des certificats, une norme technique de l'IETF qui garantit que l'historique d'émission d'une autorité de certification peut être examiné par le public afin de détecter les malversations. En interdisant l'application de la transparence des certificats, il est beaucoup plus probable que l'espionnage gouvernemental ne soit pas détecté.

Pourquoi est-ce si important ? Le rôle d'une autorité de certification est d'amorcer la communication chiffrée HTTPS avec les sites web en délivrant des certificats. La principale responsabilité de l'autorité de certification est de faire correspondre les noms des sites web avec les clients, de sorte que l'opérateur d'un site web puisse obtenir un certificat valide pour ce site, mais que personne d'autre ne puisse le faire. Si quelqu'un d'autre obtient un certificat pour ce site web, il peut l'utiliser pour intercepter des communications chiffrées, ce qui signifie qu'il peut lire des informations privées telles que des courriels.

On sait que le chiffrement HTTPS est un obstacle à l'espionnage gouvernemental grâce à la fameuse note de la NSA "SSL ajouté et supprimé ici". On sait également que des certificats mal délivrés ont été utilisés par le passé pour espionner le trafic. Par exemple, en 2011, DigiNotar a été piraté et les certificats qui en ont résulté ont été utilisés pour intercepter les courriels de personnes en Iran. En 2015, le CNNIC a émis un certificat intermédiaire utilisé pour intercepter le trafic de plusieurs sites web. Chaque autorité de certification a ensuite fait l'objet d'une méfiance.

La méfiance à l'égard d'une autorité de certification n'est que l'une des extrémités d'un spectre d'interventions techniques que les navigateurs peuvent prendre pour améliorer la sécurité de leurs utilisateurs. Les navigateurs utilisent des "programmes racines" pour contrôler la sécurité et la fiabilité des autorités de certification auxquelles ils font confiance. Ces programmes racines imposent un certain nombre d'exigences allant de "comment le matériel clé doit-il être sécurisé" à "comment la validation du contrôle du nom de domaine doit-elle être effectuée" en passant par "quels algorithmes doivent être utilisés pour la signature des certificats". Par exemple, la sécurité des certificats repose essentiellement sur la sécurité de l'algorithme de hachage utilisé. L'algorithme de hachage SHA-1, publié en 1993, était considéré comme non sécurisé en 2005. Le NIST a interdit son utilisation en 2013. Cependant, les autorités de certification n'ont cessé de l'utiliser qu'en 2017, et ce uniquement parce qu'un navigateur a exigé la suppression de SHA-1 dans son programme racine. Les autres navigateurs ont ensuite suivi, de même que le CA/Browser Forum.


La suppression de SHA-1 illustre le recul des incitations à la sécurité pour les autorités de certification. Une autorité de certification s'adresse à deux publics : ses clients, qui obtiennent des certificats auprès d'elle, et le reste de l'internet, qui lui fait confiance pour assurer la sécurité. Lorsque le moment est venu de relever la barre de la sécurité, l'autorité de certification entend souvent ses clients dire que la mise à niveau est difficile et coûteuse, ce qui est parfois le cas. Cela motive l'autorité de certification à traîner les pieds et à continuer d'offrir une technologie non sécurisée. Mais l'autre public de l'autorité de certification, la population des internautes du monde entier, a besoin qu'elle améliore continuellement la sécurité. C'est pourquoi les programmes racine des navigateurs doivent exiger (et exigent) un niveau de sécurité toujours plus élevé de la part des autorités de certification. Les programmes racine défendent les besoins de leurs utilisateurs afin de pouvoir fournir un produit plus sûr. La sécurité du programme racine d'un navigateur est, d'une manière très réelle, un facteur déterminant de la sécurité du navigateur lui-même.

C'est pourquoi il est si inquiétant que l'eIDAS 2.0 soit sur le point d'empêcher les navigateurs de demander des comptes aux autorités de certification. Il est tout à fait possible d'élever le niveau de sécurité des AC, mais abaisser la barre de façon permanente signifie moins de responsabilité pour les AC et moins de sécurité pour les utilisateurs d'Internet partout dans le monde.

Le texte n'est pas encore définitif, mais il doit être approuvé à huis clos à Bruxelles le 8 novembre 2023.

Source : EFF

Et vous ?

Pensez-vous que les préoccupations de l'EFF sont crédibles ou pertinentes ?
Quel est votre avis sur toutes ces réactions sur l'eIDAS 2.0 ?

Voir aussi :

Dernière chance de corriger eIDAS : la loi secrète de l'Union européenne sur l'identification électronique qui menace la sécurité de l'internet d'après Mozilla

L'UE veut procéder à une vérification de l'identité des internautes à l'horizon 2024 et si possible via une carte d'identité numérique pour lutter contre les abus sexuels à l'endroit des enfants

Le portefeuille d'identification numérique de l'UE arrive, voici ce qu'implique en pratique son utilisation

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de OrthodoxWindows
Membre émérite https://www.developpez.com
Le 09/11/2023 à 10:16
Citation Envoyé par ddoumeche Voir le message
J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.
C'était justement le propos plus ou moins ironique de mon message, les parties centristes qui agitent l'épouvantail de l'extrême droite appliquent désormais en partie ce que les gens aurais penser que l’épouvantail en question ferait s'il était au pouvoir...
4  0 
Avatar de melka one
Membre expérimenté https://www.developpez.com
Le 08/11/2023 à 19:41
mettez vous au https c'est plus sécurisé que le http qu'il disait
3  0 
Avatar de OrthodoxWindows
Membre émérite https://www.developpez.com
Le 09/11/2023 à 10:00
Citation Envoyé par TotoParis Voir le message
Dans un régime d'extrême-droite, ou fasciste, tu serais déjà mort de 2 balles dans la nuque.
Qu'est-ce qu'on peut pas lire comme bêtises de la part des boutonneux d'extrême-gauche en France, sur l'extrême-droite, le fascisme.
Néanmoins, la tentation autoritaire de ces fonctionnaires hors-sol est bien là. Mais rien à voir avec l'extrême-droite, le fascisme.
Avec un régime fasciste probablement, avec un régime juste d'extrême-droite pas forcément. Par exemple il y a en ce moment en Israel un régime d'extrême-droite qui fait des massacres dans la bande de Gaza, mais de nombreux Israéliens on pu manifester sans forcément se faire tirer dessus.

Ensuite, il faudrait me lire correctement : je parle d'une dérive d'extrême droite, voir fasciste ; de la même manière qu'un bateau dérive sur le côté, avant de s'écrouler totalement sur le côté (même si il ne dérive pas beaucoup).
Mis à part un état de guerre ou un régime mis en place à cause d'une révolution, on ne se couche pas en démocratie pour se réveiller avec un régime autoritaire, c'est plus long que ça. Mais comme tu dit qu'il y a une tentation autoritaire, je suppose que l'on est relativement d'accord.

Enfin, mon message était semi-ironique, pour moquer les promesses de l'EU de lutter contre les nationalismes d'extrême-droite, alors que c'est désormais elle qui propose des lois anti droits de l'homme.
3  0 
Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 09/11/2023 à 10:10
J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.
4  1 
Avatar de ludovicdeluna
Membre du Club https://www.developpez.com
Le 08/11/2023 à 19:54
J'ai eu la chance de vivre une faille de sécurité liée au certificat racine d'un éditeur très connu du monde open source qui a été piraté. C'est rare, mais ça arrive. Ce qui m'a le plus impressionné, c'est qu'il a été assez simple d'avoir des infos sur le "comment" et quel service technique contacter. Et le pauvre service en question s'est fait harcelé des jours pour révoquer le certificat.

J'ai été un mouton et j'ai fait pareil, peut-être de façon plus modérée (j'avoue avoir revu ma copie). La réponse renvoyée avec un lien vers le forum de l'équipe disait, en substance, que sans directive de l'entreprise en question, le certificat racine ne peut pas être révoqué. Ils indiquaient d'ailleurs avoir averti bien avant que l'info ne fuite sur Internet.

Et c'est là que j'ai compris que toute cette infrastructure parfaitement sécurisée avait en principal point faible les personnes qui en ont la charge sur le plan politique (et donc financier).

Je lis cette news, et je sais très bien que la même chose arrivera à l'échelle du pays. Mais à la différence de ma mésaventure, il ne suffira pas de désélectionner une mise à jour automatique. On mettra ça sur le même plan que la base de pôle emploie piraté, ou celle d'Ameli (qui me vaut depuis des appels téléphoniques par des bots).

Il y a toutefois une jolie lumière au bout du tunnel : toutes les personnes qui décident n'ont aucunement la compétence pour comprendre la portée de leur décision. Mais ils ont le champ libre, car clairement, ce sujet n’intéresse personne. Néanmoins, quand une faille à l'échelle nationale aura des répercussions concrètes sur une majorité de citoyens, ce sera le problème de tout le monde. On aura toujours les mêmes ignorants, mais ils auront besoin de garanties. Et ce jour-là, le système fera machine arrière en présentant la situation comme une amélioration.

Bref. Wait & see.
1  0 
Avatar de Jules34
Membre chevronné https://www.developpez.com
Le 09/11/2023 à 17:03
Chaque année qui passe je me demande si l'Allemagne a vraiment perdu la guerre. Quel bel empire alliance cette Europe.
1  0 
Avatar de eddy72
Membre régulier https://www.developpez.com
Le 08/11/2023 à 21:08
fouille des mails OK
mais de tous alors !!!
simple citoyens,
politiciens,
policiers,
avocats,
managers ...
1  1 
Avatar de mith06
Membre expérimenté https://www.developpez.com
Le 10/11/2023 à 8:25
Bonne nouvelle l'international communiste. Ca va permettre de mettre les fascistes plus facilement en prison.
0  2