IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mauvaise eIDAS : l'UE se tient prête à intercepter et espionner vos connexions HTTPS dans le cadre d'un énième projet
Qui signe la fin de la confidentialité des communications numériques en Europe

Le , par Patrick Ruiz

1PARTAGES

7  0 
Les législateurs européens se tiennent prêts à adopter des règles en matière d'identité numérique qui, selon les groupes de la société civile, rendront l'internet moins sûr et ouvriront les citoyens à la surveillance en ligne. Comme le résume Mozilla : « Cela permet au gouvernement de n'importe quel État membre de l'UE de délivrer des certificats de site web pour l'interception et la surveillance, qui peuvent être utilisés contre tous les citoyens de l'UE, même ceux qui ne résident pas dans l'État membre émetteur ou qui n'ont pas de lien avec lui. » Electronic Identification, Authentication and Trust Services (eIDAS) inquiète les défenseurs des libertés civiles surtout que l’UE multiplie les projets similaires dans le but de mettre un terme à la confidentialité des communications numériques.

eIDAS 2.0 prévoit que des autorités de certification approuvées par l’UE délivrent des certificats TLS aux sites web.

Pour communiquer en toute sécurité à l'aide du chiffrement TLS, un site web doit obtenir un certificat numérique, émis et signé numériquement par une autorité de certification, qui indique que l'adresse du site web correspond à l'adresse certifiée. Lorsqu'un navigateur visite ce site, le site web lui présente une partie publique du certificat émis par l'autorité de certification, et le navigateur vérifie que le certificat a bien été émis par l'une des autorités de certification auxquelles il fait confiance, à l'aide du certificat racine, et qu'il est correct pour ce site.

Si le certificat a été émis par une bonne autorité de certification connue et que tous les détails sont corrects, le site est fiable et le navigateur tente d'établir une connexion sécurisée et chiffrée avec le site web, de sorte que votre activité sur le site n'est pas visible pour une personne écoutant les conversations sur le réseau. Si le certificat a été délivré par une autorité de certification non fiable, ou si le certificat ne correspond pas à l'adresse du site web, ou si certains détails sont erronés, le navigateur rejettera le site web parce qu'il craint qu'il ne soit pas connecté au site web réel souhaité par l'utilisateur, et qu'il soit en train de parler à un imposteur.

Problème : si un site web reçoit un certificat de l'une des autorités de certification susmentionnées, soutenues par un gouvernement européen, ce gouvernement peut demander à son autorité de certification amie une copie de ce certificat afin de pouvoir usurper l'identité du site web. Ainsi, en utilisant un proxy dans le cadre d'une attaque de type man-in-the-middle, ce gouvernement peut intercepter et déchiffrer le trafic HTTPS chiffré entre le site web et ses utilisateurs, ce qui permet au régime de surveiller exactement ce que les gens font sur ce site à tout moment.

« L'Union européenne est sur le point d'adopter un nouveau règlement d'envergure, eIDAS 2.0. L'article 45, profondément enfoui dans le texte, nous ramène à l'époque où les autorités de certification pouvaient collaborer avec les gouvernements pour espionner le trafic chiffréé et s'en tirer à bon compte », commente l’EFF.



L’UE multiplie les manœuvres dans le but de mettre un terme à la confidentialité des communications numériques

La Commission de l’UE propose d'obliger les fournisseurs de services de courrier électronique, de chat et de messagerie à rechercher automatiquement des contenus suspects dans tous les chats, messages et courriels privés, de manière générale et sans distinction. La proposition implique de bannir le chiffrement que des plateformes comme WhatsApp et autres Signal proposent. L'objectif : lutter contre les abus sexuels des enfants en ligne.

De façon plus détaillée, les conséquences de l’entrée en vigueur de ce projet de loi sont :

  • toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
  • si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
  • les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la "sollicitation d'enfants" signalent souvent à tort les conversations intimes ;
  • des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
  • lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
  • ce serait la porte ouverte pour les services de renseignement et les pirates sur les conversations et courriels.



Les avis divergent sur la question et la France apparaît dans certaines listes de pays pour l’affaiblissement du chiffrement aux fins de lutter contre la pédopornographie.

Source : EFF

Et vous ?

Pour ou contre l’interception et l’espionnage des connexions HTTPS par les Etats membres de l’UE via eIDAS (Electronic Identification, Authentication and Trust Services ?
Scanner toutes les conversations privées pour lutter contre la pédopornographie : pour ou contre ? De quel bord êtes-vous ?

Voir aussi :

Le bitcoin vaut moins que le coût d'extraction, selon JPMorgan, le coût de revient moyen pondéré d'un bitcoin étant estimé à environ 4060 $
La cryptomonnaie de Facebook, une opportunité de 19 milliards de dollars de revenus, et une nouvelle affaire autre que la publicité, selon Barclays
La majorité du marché de bitcoin est une tromperie, 95 % du volume des échanges de cette monnaie étant truqué, selon une nouvelle étude
Cryptomonnaie : le crash du marché laisse des entreprises en faillite dans son sillage, des développeurs étant privés de financement supplémentaire
L'État de New York approuve deux cryptomonnaies liées au dollar : deux nouveaux stablecoins à la suite du TrueUSD aux États-Unis

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de OrthodoxWindows
Membre émérite https://www.developpez.com
Le 09/11/2023 à 10:16
Citation Envoyé par ddoumeche Voir le message
J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.
C'était justement le propos plus ou moins ironique de mon message, les parties centristes qui agitent l'épouvantail de l'extrême droite appliquent désormais en partie ce que les gens aurais penser que l’épouvantail en question ferait s'il était au pouvoir...
4  0 
Avatar de melka one
Membre expérimenté https://www.developpez.com
Le 08/11/2023 à 19:41
mettez vous au https c'est plus sécurisé que le http qu'il disait
3  0 
Avatar de OrthodoxWindows
Membre émérite https://www.developpez.com
Le 09/11/2023 à 10:00
Citation Envoyé par TotoParis Voir le message
Dans un régime d'extrême-droite, ou fasciste, tu serais déjà mort de 2 balles dans la nuque.
Qu'est-ce qu'on peut pas lire comme bêtises de la part des boutonneux d'extrême-gauche en France, sur l'extrême-droite, le fascisme.
Néanmoins, la tentation autoritaire de ces fonctionnaires hors-sol est bien là. Mais rien à voir avec l'extrême-droite, le fascisme.
Avec un régime fasciste probablement, avec un régime juste d'extrême-droite pas forcément. Par exemple il y a en ce moment en Israel un régime d'extrême-droite qui fait des massacres dans la bande de Gaza, mais de nombreux Israéliens on pu manifester sans forcément se faire tirer dessus.

Ensuite, il faudrait me lire correctement : je parle d'une dérive d'extrême droite, voir fasciste ; de la même manière qu'un bateau dérive sur le côté, avant de s'écrouler totalement sur le côté (même si il ne dérive pas beaucoup).
Mis à part un état de guerre ou un régime mis en place à cause d'une révolution, on ne se couche pas en démocratie pour se réveiller avec un régime autoritaire, c'est plus long que ça. Mais comme tu dit qu'il y a une tentation autoritaire, je suppose que l'on est relativement d'accord.

Enfin, mon message était semi-ironique, pour moquer les promesses de l'EU de lutter contre les nationalismes d'extrême-droite, alors que c'est désormais elle qui propose des lois anti droits de l'homme.
3  0 
Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 09/11/2023 à 10:10
J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.
4  1 
Avatar de ludovicdeluna
Membre du Club https://www.developpez.com
Le 08/11/2023 à 19:54
J'ai eu la chance de vivre une faille de sécurité liée au certificat racine d'un éditeur très connu du monde open source qui a été piraté. C'est rare, mais ça arrive. Ce qui m'a le plus impressionné, c'est qu'il a été assez simple d'avoir des infos sur le "comment" et quel service technique contacter. Et le pauvre service en question s'est fait harcelé des jours pour révoquer le certificat.

J'ai été un mouton et j'ai fait pareil, peut-être de façon plus modérée (j'avoue avoir revu ma copie). La réponse renvoyée avec un lien vers le forum de l'équipe disait, en substance, que sans directive de l'entreprise en question, le certificat racine ne peut pas être révoqué. Ils indiquaient d'ailleurs avoir averti bien avant que l'info ne fuite sur Internet.

Et c'est là que j'ai compris que toute cette infrastructure parfaitement sécurisée avait en principal point faible les personnes qui en ont la charge sur le plan politique (et donc financier).

Je lis cette news, et je sais très bien que la même chose arrivera à l'échelle du pays. Mais à la différence de ma mésaventure, il ne suffira pas de désélectionner une mise à jour automatique. On mettra ça sur le même plan que la base de pôle emploie piraté, ou celle d'Ameli (qui me vaut depuis des appels téléphoniques par des bots).

Il y a toutefois une jolie lumière au bout du tunnel : toutes les personnes qui décident n'ont aucunement la compétence pour comprendre la portée de leur décision. Mais ils ont le champ libre, car clairement, ce sujet n’intéresse personne. Néanmoins, quand une faille à l'échelle nationale aura des répercussions concrètes sur une majorité de citoyens, ce sera le problème de tout le monde. On aura toujours les mêmes ignorants, mais ils auront besoin de garanties. Et ce jour-là, le système fera machine arrière en présentant la situation comme une amélioration.

Bref. Wait & see.
1  0 
Avatar de Jules34
Membre chevronné https://www.developpez.com
Le 09/11/2023 à 17:03
Chaque année qui passe je me demande si l'Allemagne a vraiment perdu la guerre. Quel bel empire alliance cette Europe.
1  0 
Avatar de eddy72
Membre régulier https://www.developpez.com
Le 08/11/2023 à 21:08
fouille des mails OK
mais de tous alors !!!
simple citoyens,
politiciens,
policiers,
avocats,
managers ...
1  1 
Avatar de mith06
Membre expérimenté https://www.developpez.com
Le 10/11/2023 à 8:25
Bonne nouvelle l'international communiste. Ca va permettre de mettre les fascistes plus facilement en prison.
0  2