Le règlement eIDAS force les navigateurs à accepter des certificats qui contournent les standards de sécurité et exposent les utilisateurs à des attaques. L’EFF (Electronic Frontier Foundation) a fait passer, la semaine dernière, un message de cette teneur. En parallèle, elle a cosigné, avec une trentaine de chercheurs, une lettre ouverte aux députés européens.
La démarche s’inscrit dans un combat amorcé voilà des années. En ligne de mire, la révision dudit règlement. Et plus particulièrement un de ses aspects : les QWAC (Qualified Website Authentication Certificates). L’eIDAS lui-même avait introduit ce type de certificats. Sa version révisée imposerait l’intégration de certains d’entre eux dans les magasins de certificats racine des navigateurs.
Dans l’absolu, les éditeurs concernés ne s’opposent pas à implémenter les QWAC. Mais pas sous leur forme actuelle, ni celles que l’UE envisage. Les appels répétés de Mozilla en témoignent. Deux craintes en ressortent. Elles touchent à la sécurité et à la vie privée.
En l’état, dans les navigateurs, l’authentification des sites web est dissociée de l’identification de leur propriétaire. Elle s’appuie sur des certificats TLS (Transport Layer Security), qui permettent d’assurer à l’utilisateur que le trafic (connexion à un site) est sécurisé. Chaque éditeur a la main sur le processus de validation des autorités qui émettent ces certificats.
Tel que proposée, la révision du règlement eIDAS entraînerait soit la fusion de l’authentification du site et de l’identification du propriétaire, soit une liaison cryptographique des certificats TLS et QWAC. La validation des autorités émettrices n’échoirait plus aux éditeurs, mais à des autorités nationales compétentes.
Mozilla et consorts considèrent que la liaison des certificats viole plusieurs provisions du règlement eIDAS. Entre autres sur l’interopérabilité et la neutralité technologique. Et qu’elle pose un risque autant pour la vie privée des utilisateurs finaux que pour la sécurité du web dans son ensemble. Avec, sur ce dernier point, le spectre de « listes blanches gouvernementales ». Les conditions de validation des autorités certificatrices manqueraient en tout cas pour le moment de transparence. Les obligations en matière de fréquence des audits seraient par ailleurs moins contraignantes : tous les 24 mois, alors que les éditeurs sont plutôt sur un rythme annuel.
Mozilla et al. dénoncent aussi un non-sens technique. Leur constat : TLS et QWAC n’émanent pas des mêmes organismes et supposent des règles différentes. Surtout, ce qui leur est rattaché (nom de domaine pour le premier, identité juridique pour le second) n’évolue pas au même rythme. Dans l’éventualité d’une fusion ou d’une liaison cryptographique, tout changement sur l’un ou l’autre paramètre se répercuterait sur l’ensemble.
Le thread suivant remonte à juin 2021, mais donne encore une bonne idée de la situation.
Illustration principale © Maksim Kabakou – Shutterstock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
