L’article révisé sur l’authentification web inquiète les leaders de l’Internet
Douze leaders de la communauté du web ont envoyé une lettre aux eurodéputés et aux représentants du Conseil de l’UE pour exprimer leurs préoccupations en ce qui concerne la sécurité de l’article 45 révisé du projet de proposition législative sur l’identité numérique (e-ID).
Douze leaders de la communauté du web ont envoyé une lettre aux eurodéputés et aux représentants du Conseil de l’Union européenne pour exprimer leurs préoccupations en ce qui concerne la sécurité de l’article 45 révisé du projet de proposition législative sur l’identité numérique (e-ID).
La proposition législative de la Commission européenne visant à modifier le règlement sur l’identification numérique, l’authentification et les services de confiance (eIDAS), qui date de 2014 et qui a pour but de sécuriser les échanges transfrontaliers en matière d’identité, se heurte à la résistance de la communauté du web — notamment pour ce qui est de l’article 45.
L’inclusion légale d’entreprises européennes sélectionnées, appelées « autorités de certification », dans les programmes racines des navigateurs web pose de sérieuses menaces et faiblesses pour la sécurité du web, affirment les signataires.
En vertu de l’article 45 révisé, les navigateurs seraient contraints d’accepter un système de certificats d’authentification Web qualifiés (Qualified Web Authentication Certificates, QWAC) provenant d’autorités de certification, qu’ils répondent ou non aux normes de sécurité du navigateur.
« Malheureusement, cette exigence technique est problématique, car les équipes de sécurité doivent réagir au rythme de l’évolution des menaces et des incidents de cybersécurité, et ne pas être étouffées par une disposition législative qui entraverait cette rapidité de réaction », peut-on lire dans la lettre envoyée mercredi (6 avril).
La lettre a été signée par des acteurs de premier plan de l’Internet tels que Vint Cerf, pionnier de l’Internet et ancien président de l’Internet Corporation for Assigned Names and Numbers (ICANN) — l’organisme américain chargé de gérer le système de noms de domaine de l’Internet — et Andrew Sullivan, président et directeur général de l’Internet Society.
Authentification web
L’authentification web est le mécanisme qui garantit que les utilisateurs visitent le site web qu’ils souhaitent visiter et ne sont pas dirigés vers des entités se faisant passer pour ce site.
Pour ce faire, les utilisateurs reçoivent un certificat qui confirme qu’ils visitent le site web qu’ils souhaitaient visiter. Les autorités de certification sont des tiers, désignés par les gouvernements de l’UE, qui délivrent ces certificats aux sites web.
« C’est donc un outil très puissant, car s’il délivre ce certificat de manière incorrecte, cela signifie qu’une entité malveillante peut se faire passer pour le site web que vous essayez de visiter », a expliqué à EURACTIV Marshall Erwin, Head of Trust Intelligence chez Mozilla.
Les autorités de certification doivent donc être dignes de confiance et fonctionner correctement.
Le problème avec les QWAC
La question critique dans le cadre du projet de législation concerne la manière et les normes de sécurité dans lesquelles de tels certificats devraient être donnés. La proposition permettrait aux autorités de certification délivrant certains types de certificats, à savoir les QWAC, d’être reconnues par les navigateurs, indépendamment des normes de sécurité qu’elles appliquent.
L’idée des QWAC a été établie par la loi en 2014. Ils garantissent que les certificats comprendraient des informations supplémentaires, non seulement sur le domaine que l’on visite, mais aussi sur l’entité juridique qui se cache derrière.
Selon diverses sources, dont l’Electronic Frontier Foundation, exiger des QWAC est problématique car ils ont été « réfutés en tant que moyen efficace de transmettre la sécurité aux utilisateurs ».
Jusqu’à présent, les navigateurs s’assurent d’abord que les autorités de certification satisfont à leurs normes, explique M. Erwin. Cependant, l’idée derrière la proposition actuelle est que « cela créerait un processus parallèle dans lequel les États individuels décideraient sur la base d’un ensemble non spécifié de normes », a-t-il indiqué. Et Mozilla, par exemple, serait obligé d’accepter cette autorité de certification.
Un dangereux précédent
« Essentiellement, il s’agit d’autorités de certification mandatées par le gouvernement que nous serions obligés de reconnaître », a expliqué M. Erwin.
Cette législation européenne pourrait créer un dangereux précédent ailleurs. « Je pense que notre plus grande inquiétude est que d’autres régimes répressifs ou d’autres grandes puissances suivent et adoptent essentiellement la même approche », a-t-il continué.
Par exemple, des gouvernements tels que les Émirats arabes unis ou le Kazakhstan ont déjà cherché activement à saper l’authentification sur le Web « en adoptant une législation qui obligerait les navigateurs à fournir une capacité intermédiaire en acceptant des autorités de certification qui ne répondent pas à nos normes », a expliqué M. Erwin.
« Nous avons réussi à faire reculer cette situation au niveau mondial. Mais notre capacité à le faire sera vraiment minée au moment où le précédent aura été créé. »
Kate Charlet, directrice de la gouvernance des données chez Google, a confié à EURACTIV que cela créerait non seulement un précédent inquiétant, mais « exposerait activement les citoyens à un risque numérique accru à un moment où la protection est plus difficile — et plus essentielle — que jamais ».
À l’instar des signataires de la lettre, Mme Charlet ne pense pas que les cadres réglementaires devraient avoir pour effet d’empêcher les organisations de protéger leurs utilisateurs contre l’évolution de la cybercriminalité et des menaces.
Le dossier a été attribué à la commission de l’industrie, de la recherche et de l’énergie (ITRE) du Parlement européen. La rapporteure Romana Jerković a déclaré que le vote de la commission sur le projet de proposition était attendu en juillet.
