dimanche 14 janvier 2024

SI VOUS N'AVEZ TOUJOURS PAS COMPRIS

 

L’UE veut espionner l’utilisation de l’internet par les Européens

Ces dernières années, la censure pure et simple sous toutes ses formes a augmenté. Pendant la folie du covid, le gouvernement et l’industrie se sont associés pour créer un complexe censure-industrie afin de promouvoir plus efficacement de faux récits et de faire taire les dissidents.


La Commission européenne est un organe législatif de l’UE doté d’une autorité réglementaire en matière de technologie numérique. L’article 45 de la proposition de règlement eIDAS de la CE affaiblirait délibérément certains aspects de la sécurité de l’internet que l’industrie a soigneusement développés et renforcés depuis plus de 25 ans. Cet article accorderait en fait aux 27 gouvernements de l’UE des pouvoirs de surveillance très étendus sur l’utilisation d’Internet.

La règle exigerait que tous les navigateurs Internet fassent confiance à un certificat racine supplémentaire émanant d’une agence (ou d’une entité réglementée) de chacun des gouvernements nationaux de chacun des États membres de l’UE. Pour les lecteurs non spécialistes, je vais expliquer ce qu’est un certificat racine, comment la confiance dans l’internet a évolué et ce que l’article 45 apporte à cet égard. Ensuite, je mettrai en lumière certains commentaires de la communauté technologique sur cette question.

La section suivante de cet article explique comment fonctionne l’infrastructure de confiance de l’internet. Ce contexte est nécessaire pour comprendre à quel point l’article proposé est radical. L’explication est destinée à être accessible à un lecteur non technicien.

Le règlement en question porte sur la sécurité de l’internet. Par « internet », on entend ici, dans une large mesure, les navigateurs qui visitent des sites web. La sécurité de l’internet comporte de nombreux aspects distincts. L’article 45 vise à modifier l’infrastructure à clé publique (ICP), qui fait partie de la sécurité de l’internet depuis le milieu des années 90. L’ICP a d’abord été adoptée, puis améliorée sur une période de 25 ans, afin de donner aux utilisateurs et aux éditeurs les garanties suivantes :

  • Confidentialité de la conversation entre le navigateur et le site web : Les navigateurs et les sites web conversent sur l’internet, un réseau de réseaux exploités par des fournisseurs d’accès à l’internet et des opérateurs de niveau 1, ou des opérateurs cellulaires si l’appareil est mobile. Le réseau lui-même n’est pas intrinsèquement sûr ni digne de confiance. Votre fournisseur d’accès à Internet à domicileun voyageur dans la salle d’attente de l’aéroport où vous attendez votre vol, ou un fournisseur de données cherchant à vendre des prospects à des annonceurs peuvent vouloir vous espionner. Sans aucune protection, un acteur malveillant pourrait consulter des données confidentielles telles qu’un mot de passe, le solde d’une carte de crédit ou des informations sur la santé.
  • Garantissez que vous visualisez la page exactement comme le site web vous l’a envoyée : Lorsque vous consultez une page web, celle-ci a-t-elle pu être modifiée entre l’éditeur et votre navigateur ? Un censeur peut vouloir supprimer un contenu qu’il ne veut pas que vous voyiez. Les contenus qualifiés de « désinformation » ont été largement supprimés pendant l’hystérie du covid. Un pirate informatique qui a volé votre carte de crédit pourrait vouloir supprimer les preuves de ses dépenses frauduleuses.
  • Garantissez que le site web que vous voyez est bien celui qui figure dans la barre d’adresse du navigateur : Lorsque vous vous connectez à une banque, comment savez-vous que vous voyez le site web de cette banque, et non une version falsifiée qui semble identique ? Vous vérifiez la barre d’adresse de votre navigateur. Votre navigateur pourrait-il être piégé et vous montrer un faux site web qui semble identique au vrai ? Comment votre navigateur sait-il – avec certitude – qu’il est connecté au bon site ?

Dans les premiers temps de l’internet, aucune de ces garanties n’existait. En 2010, un plugin de navigateur disponible dans le magasin de modules complémentaires permettait à l’utilisateur de participer au chat d’un groupe Facebook d’une autre personne dans un café hotspot. Aujourd’hui, grâce à l’ICP, vous pouvez être pratiquement sûr de ces choses.

Ces caractéristiques de sécurité sont protégées par un système basé sur des certificats numériques. Les certificats numériques sont une forme d’identification – la version Internet d’un permis de conduire. Lorsqu’un navigateur se connecte à un site, ce dernier lui présente un certificat. Le certificat contient une clé cryptographique. Le navigateur et le site web travaillent ensemble à l’aide d’une série de calculs cryptographiques pour établir une communication sécurisée.

Ensemble, le navigateur et le site web fournissent les trois garanties de sécurité :

  • confidentialité : en chiffrant la conversation.
  • signatures numériques cryptographiques : pour s’assurer que le contenu n’est pas modifié en vol.
  • vérification de l’éditeur : grâce à la chaîne de confiance fournie par l’ICP, que j’expliquerai plus en détail ci-dessous.

Une bonne identité doit être difficile à contrefaire. Dans l’Antiquité, le moulage en cire d’un sceau servait à cette fin. Les identités humaines reposent sur la biométrie. Votre visage est l’une des formes les plus anciennes. Dans le monde non numérique, lorsque vous devez accéder à un lieu où l’âge est limité, par exemple pour commander une boisson alcoolisée, on vous demandera une pièce d’identité avec photo.

Une autre biométrie datant d’avant l’ère numérique consistait à comparer votre nouvelle signature au stylo avec votre signature originale au dos de votre pièce d’identité. Ces anciens types de données biométriques étant plus faciles à contrefaire, la vérification de l’identité humaine s’est adaptée. Aujourd’hui, il est courant qu’une banque vous envoie un code de validation sur votre téléphone portable. L’application exige que vous passiez un contrôle d’identité biométrique sur votre téléphone portable pour voir le code, comme la reconnaissance faciale ou votre empreinte digitale.

Outre la biométrie, le deuxième facteur qui rend une carte d’identité digne de confiance est l’émetteur. Les cartes d’identité largement acceptées dépendent de la capacité de l’émetteur à vérifier que la personne qui demande une carte d’identité est bien celle qu’elle prétend être. La plupart des pièces d’identité les plus largement acceptées sont délivrées par des agences gouvernementales, telles que le Department of Motor Vehicles (département des véhicules à moteur). Si l’organisme émetteur dispose de moyens fiables pour savoir qui et où se trouvent ses sujets, comme les paiements d’impôts, les dossiers d’emploi ou l’utilisation des services de distribution d’eau, il y a de fortes chances qu’il puisse vérifier que la personne dont le nom figure sur la pièce d’identité est bien cette personne.

Dans le monde en ligne, les gouvernements ne se sont, pour la plupart, pas impliqués dans la vérification de l’identité. Les certificats sont délivrés par des entreprises du secteur privé connues sous le nom d’autorités de certification (AC). Alors que les certificats étaient autrefois assez chers, les frais ont considérablement baissé, au point que certains sont gratuits. Les autorités de certification les plus connues sont Verisign, DigiCert et GoDaddy. Ryan Hurst montre que les sept principales autorités de certification (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft et IdenTrust) émettent 99 % de tous les certificats.

Le navigateur n’accepte un certificat comme preuve d’identité que si le champ du nom sur le certificat correspond au nom de domaine, que le navigateur affiche dans la barre d’adresse. Même si les noms correspondent, cela signifie-t-il qu’un certificat indiquant « apple.com » appartient à l’entreprise d’électronique grand public connue sous le nom d’Apple, Inc. Les systèmes d’identification ne sont pas à l’épreuve des balles. Les mineurs peuvent obtenir de fausses cartes d’identité. Tout comme les cartes d’identité humaines, les certificats numériques peuvent également être falsifiés ou invalides pour d’autres raisons. Un ingénieur logiciel utilisant des outils libres peut créer un certificat numérique nommé « apple.com » avec quelques lignes de commandes Linux.

Le système d’ICP s’appuie sur les autorités de certification pour délivrer un certificat uniquement au propriétaire du site web. Le processus d’acquisition d’un certificat se déroule comme suit :

  1. L’éditeur d’un site web demande un certificat pour un domaine à l’autorité de certification de son choix.
  2. L’autorité de certification vérifie que la demande de certificat émane bien du propriétaire du site. Comment l’autorité de certification établit-elle cela ? L’autorité de certification exige que l’entité qui fait la demande publie un élément de contenu spécifique sur une URL spécifique. La capacité à le faire prouve que l’entité a le contrôle du site web.
  3. Une fois que le site web a prouvé qu’il est propriétaire du domaine, l’autorité de certification appose une signature numérique cryptographique sur le certificat à l’aide de sa propre clé cryptographique privée. La signature identifie l’AC en tant qu’émetteur.
  4. Le certificat signé est transmis à la personne ou à l’entité qui fait la demande.
  5. L’éditeur installe son certificat sur son site web, afin qu’il puisse être présenté aux navigateurs.

Les signatures numériques cryptographiques sont « un schéma mathématique permettant de vérifier l’authenticité de messages ou de documents numériques ». Il ne s’agit pas de la même chose que la signature de documents en ligne proposée par DocuSign et d’autres fournisseurs similaires. Si la signature pouvait être falsifiée, les certificats ne seraient pas fiables. Au fil du temps, la taille des clés cryptographiques a augmenté afin de rendre la falsification plus difficile. Les chercheurs en cryptographie estiment que les signatures actuelles sont, en pratique, impossibles à falsifier. Le vol des clés secrètes de l’autorité de certification constitue une autre vulnérabilité. Le voleur pourrait alors produire des signatures valides de cette autorité de certification.

Une fois le certificat installé, il est utilisé lors de la configuration d’une conversation web. Le Register explique comment cela se passe :

Si le certificat a été délivré par une autorité de certification connue et que tous les détails sont corrects, le site est fiable et le navigateur tentera d’établir une connexion sécurisée et cryptée avec le site web afin que votre activité sur le site ne soit pas visible pour une personne qui écouterait sur le réseau. Si le certificat a été délivré par une autorité de certification non fiable, ou si le certificat ne correspond pas à l’adresse du site web, ou si certains détails sont erronés, le navigateur rejettera le site web parce qu’il craint de ne pas se connecter au véritable site web souhaité par l’utilisateur, et de parler à un usurpateur.

Nous pouvons faire confiance au navigateur parce qu’il fait confiance au site web. Le navigateur fait confiance au site web parce que le certificat a été délivré par une autorité de certification « reconnue ». Mais qu’est-ce qu’une « bonne autorité de certification connue » ? La plupart des navigateurs s’appuient sur les autorités de certification fournies par le système d’exploitation. La liste des autorités de certification dignes de confiance est établie par les fournisseurs d’appareils et de logiciels. Les principaux fournisseurs d’ordinateurs et d’appareils – Microsoft, Apple, les fabricants de téléphones Android et les distributeurs de logiciels libres Linux – préchargent le système d’exploitation de leurs appareils avec un ensemble de certificats racine.

Ces certificats identifient les autorités de certification qu’ils ont contrôlées et qu’ils considèrent comme fiables. Cette collection de certificats racine s’appelle le « magasin de confiance ». Pour prendre un exemple qui m’est proche, le PC Windows que j’utilise pour écrire cet article possède 70 certificats racine dans son Trusted Root Certificate Store (magasin de certificats racine de confiance). Le site d’assistance d’Apple répertorie toutes les racines auxquelles la version Sierra de MacOS fait confiance.

Comment les fournisseurs d’ordinateurs et de téléphones décident-ils quels CA sont dignes de confiance ? Ils disposent de programmes d’audit et de conformité pour évaluer la qualité des AC. Seules celles qui réussissent sont incluses. Voir, par exemple, le navigateur Chrome (qui fournit son propre magasin de confiance plutôt que d’utiliser celui de l’appareil). L’EFF (qui se décrit comme « la principale organisation à but non lucratif défendant les libertés civiles dans le monde numérique »explique :

Les navigateurs utilisent des « programmes racines » pour contrôler la sécurité et la fiabilité des autorités de certification auxquelles ils font confiance. Ces programmes racine imposent un certain nombre d’exigences allant de « comment le matériel clé doit-il être sécurisé » à « comment la validation du contrôle du nom de domaine doit-elle être effectuée » en passant par « quels algorithmes doivent être utilisés pour la signature des certificats ».

Une fois qu’une autorité de certification a été acceptée par un fournisseur, ce dernier continue à la surveiller. Les vendeurs retireront les autorités de certification de leur liste de confiance si elles ne respectent pas les normes de sécurité nécessaires. Les autorités de certification peuvent, et c’est ce qu’elles font, devenir des voyous ou échouer pour d’autres raisons. C’est ce que rapporte The Register :

Les certificats et les autorités de certification qui les émettent ne sont pas toujours dignes de confiance et, au fil des ans, les fabricants de navigateurs ont retiré les certificats racine des autorités de certification basées en Turquie, en France, en Chine, au Kazakhstan et ailleurs lorsqu’il s’est avéré que l’entité émettrice ou une partie associée interceptait le trafic web.

En 2022, le chercheur Ian Carroll a signalé des problèmes de sécurité avec l’autorité de certification e-Tugra. Carroll « a trouvé un certain nombre de problèmes alarmants qui m’inquiètent quant aux pratiques de sécurité au sein de leur entreprise », tels que des informations d’identification faibles. Les rapports de Carroll ont été vérifiés par les principaux fournisseurs de logiciels. En conséquence, e-Tugra a été retiré de leurs magasins de certificats de confiance.

La chronologie des défaillances des autorités de certification fait état d’autres incidents de ce type.

Il existe encore des failles connues dans l’ICP telle qu’elle existe actuellement. Une question particulière étant importante pour comprendre l’article 45 d’eIDAS, je l’expliquerai ensuite. La confiance d’une autorité de certification ne se limite pas aux sites web qui font affaire avec elle. Un navigateur acceptera un certificat de n’importe quelle AC de confiance pour n’importe quel site web. Rien n’empêche l’autorité de certification de délivrer à un mauvais acteur un site web qui n’a pas été demandé par le propriétaire du site. Un tel certificat serait frauduleux au sens juridique du terme en raison de la personne à laquelle il a été délivré. Mais le contenu du certificat serait techniquement valide du point de vue du navigateur.

À chaque étape de ce processus, la solution technique repose sur une source de confiance externe. Mais comment cette confiance est-elle établie ? En s’appuyant sur une source encore plus fiable au niveau supérieur ? Cette question illustre la nature « tortue, tout en bas » du problème. L’ICP a une tortue à sa base : la réputation, la visibilité et la transparence de l’industrie de la sécurité et de ses clients. La confiance s’établit à ce niveau grâce à une surveillance constante, à des normes ouvertes, aux développeurs de logiciels et aux autorités de certification.

Des certificats frauduleux ont été émis. En 2013, ArsTechnica a rapporté qu’une agence française avait été prise en flagrant délit de fabrication de certificats SSL usurpant l’identité de Google :

En 2011 […] des chercheurs en sécurité ont repéré un faux certificat pour Google.com qui permettait aux attaquants de se faire passer pour le service de messagerie du site web et d’autres offres. Le faux certificat a été créé après que des attaquants ont percé la sécurité de la société néerlandaise DigiNotar et pris le contrôle de ses systèmes d’émission de certificats.

Les certificats SSL (secure sockets layer) étaient signés numériquement par une autorité de certification valide… En fait, les certificats étaient des duplicatas non autorisés, émis en violation des règles établies par les fabricants de navigateurs et les services d’autorité de certification.

L’émission frauduleuse de certificats est possible. Une autorité de certification malhonnête peut en émettre un, mais elle n’ira pas loin. Le mauvais certificat sera détecté. L’autorité de certification défaillante échouera dans les programmes de conformité et sera retirée des magasins de confiance. Si elle n’est pas acceptée, l’autorité de certification fera faillite. La transparence des certificats, une norme plus récente, permet une détection plus rapide des certificats frauduleux.

Pourquoi une autorité de certification serait-elle malhonnête ? Quel avantage le méchant peut-il tirer d’un certificat non autorisé ? Avec le certificat seul, pas grand-chose, même s’il est signé par une autorité de certification de confiance. Mais si le malfaiteur peut s’associer à un fournisseur de services Internet ou accéder au réseau utilisé par le navigateur, le certificat lui permet de briser toutes les garanties de sécurité de l’ICP.

Le pirate pourrait monter une attaque de type « man-in-the-middle » (MITM) sur la conversation. Il pourrait s’interposer entre le navigateur et le site web réel. Dans ce scénario, l’utilisateur parlerait directement à l’attaquant et ce dernier relaierait le contenu dans les deux sens avec le vrai site web. L’attaquant présente le certificat frauduleux au navigateur. Comme il est signé par une autorité de certification de confiance, le navigateur l’accepte. Le pirate pouvait voir et même modifier ce que l’une ou l’autre partie envoyait avant que l’autre partie ne le reçoive.

Nous en arrivons maintenant au sinistre eIDAS de l’UE, l’article 45. Cette proposition de règlement exige que tous les navigateurs fassent confiance à un ensemble de certificats provenant d’autorités de certification désignées par l’UE. Vingt-sept pour être exact : un pour chaque pays membre. Ces certificats sont appelés « Qualified Website Authentication Certificates » (certificats d’authentification de sites web qualifiés). L’acronyme « QWAC » a une fâcheuse homonymie avec le charlatanisme – ou peut-être la Commission européenne se moque-t-elle de nous.

Les QWAC seraient délivrés soit par des agences gouvernementales, soit par ce que Michael Rectenwald appelle des « gouvernementalités » : des sociétés et d’autres auxiliaires de l’État que l’on qualifie de « privés », mais qui fonctionnent en réalité comme des appareils d’État, en ce sens qu’ils mettent en œuvre les récits et les diktats de l’État.

Ce projet rapprocherait les gouvernements des États membres de l’UE du point où ils pourraient mener des attaques de type « man-in-the-middle » contre leurs propres citoyens. Ils auraient également besoin d’accéder aux réseaux. Les gouvernements sont en mesure de le faire. Si le fournisseur d’accès est une entreprise publique, ils l’ont déjà. Si les FAI sont des entreprises privées, les autorités locales pourraient utiliser leurs pouvoirs de police pour y accéder.

Un point qui n’a pas été souligné dans la conversation publique est qu’un navigateur dans n’importe lequel des 27 pays membres de l’UE serait tenu d’accepter chaque QWAC, un de chaque membre de l’UE. Cela signifie qu’un navigateur espagnol, par exemple, devrait faire confiance à une QWAC provenant d’entités croates, finlandaises et autrichiennes. L’utilisateur espagnol visitant un site web autrichien devrait transiter par des portions autrichiennes de l’internet. Les questions soulevées ci-dessus s’appliqueraient à tous les pays de l’UE.

The Register, dans un article intitulé Bad eIDAS : Europe ready to intercept, spy on your encrypted HTTPS connections (Mauvais eIDAS : l’Europe prête à intercepter et à espionner vos connexions HTTPS cryptées), explique comment cela pourrait fonctionner :

Ce gouvernement peut demander à son autorité de certification amie une copie du certificat [QWAC] afin de pouvoir se faire passer pour le site web – ou demander un autre certificat auquel les navigateurs feront confiance et qu’ils accepteront pour le site. Ainsi, en utilisant une attaque de type « man-in-the-middle », le gouvernement peut intercepter et décrypter le trafic HTTPS crypté entre le site web et ses utilisateurs, ce qui permet au régime de surveiller exactement ce que les gens font sur ce site à tout moment.

Après avoir pénétré le bouclier du cryptage, la surveillance pourrait inclure la sauvegarde des mots de passe des utilisateurs, puis leur utilisation à un autre moment pour accéder aux comptes de courrier électronique des citoyens. Outre la surveillance, les gouvernements pourraient modifier le contenu en ligne. Par exemple, ils pourraient supprimer les récits qu’ils souhaitent censurer. Ils pourraient assortir les opinions dissidentes de vérifications des faits et d’avertissements sur le contenu.

Dans l’état actuel des choses, les autorités de certification doivent conserver la confiance de la communauté des navigateurs. Les navigateurs avertissent actuellement l’utilisateur si un site présente un certificat expiré ou non fiable. En vertu de l’article 45, les avertissements ou l’éjection de ceux qui abusent de la confiance seraient interdits. Non seulement les navigateurs sont tenus de faire confiance aux QWAC, mais l’article 45 interdit aux navigateurs d’afficher un avertissement indiquant qu’un certificat signé par un QWAC est périmé.

Last Chance for eIDAS (un site web affichant le logo Mozilla) plaide contre l’article 45 :

Tout État membre de l’UE a la possibilité de désigner des clés cryptographiques à distribuer dans les navigateurs web et il est interdit aux navigateurs de révoquer la confiance dans ces clés sans l’autorisation du gouvernement.

…Il n’y a pas de contrôle ou d’équilibre indépendant sur les décisions prises par les États membres en ce qui concerne les clés qu’ils autorisent et l’utilisation qu’ils en font. Cette situation est d’autant plus préoccupante que le respect de l’État de droit n’a pas été uniforme dans tous les États membres et qu’il existe des cas avérés de coercition de la part de la police secrète à des fins politiques.

Dans une lettre ouverte signée par plusieurs centaines de chercheurs en sécurité et d’informaticiens :

L’article 45 interdit également les contrôles de sécurité sur les certificats web de l’UE, à moins qu’ils ne soient expressément autorisés par la réglementation lors de l’établissement de connexions cryptées pour le trafic web. Au lieu de spécifier un ensemble de mesures de sécurité minimales qui doivent être appliquées comme base de référence, il spécifie effectivement une limite supérieure pour les mesures de sécurité qui ne peuvent pas être améliorées sans l’autorisation de l’ETSI. Cela va à l’encontre des normes mondiales bien établies où les nouvelles technologies de cybersécurité sont développées et déployées en réponse à l’évolution rapide de la technologie.

La plupart d’entre nous se fient à leurs fournisseurs pour établir la liste des autorités de certification de confiance. Toutefois, en tant qu’utilisateur, vous pouvez ajouter ou supprimer des certificats à votre guise sur vos propres appareils. Microsoft Windows dispose d’un outil pour ce faire. Sous Linux, les certificats racine sont des fichiers situés dans un seul répertoire. Il suffit de supprimer le fichier pour qu’une autorité de certification ne soit plus digne de confiance. Cela sera-t-il également interdit ? s’interroge Steve Gibson, éditorialiste, chroniqueur et animateur du podcast Security Now :

Mais l’UE déclare que les navigateurs seront tenus d’honorer ces nouvelles autorités de certification non éprouvées et non testées, et donc tous les certificats qu’elles émettent, sans exception et sans recours. Cela signifie-t-il que ma version de Firefox sera légalement tenue de refuser ma tentative de suppression de ces certificats ?

Gibson note que certaines entreprises mettent en place une surveillance similaire de leurs employés au sein de leur propre réseau privé. Quelle que soit votre opinion sur ces conditions de travail, certaines industries ont des raisons légitimes de suivre et d’enregistrer ce que leurs employés font avec les ressources de l’entreprise, pour des raisons d’audit et de conformité. Mais, comme le dit Gibson,

Le problème, c’est que l’UE et ses États membres sont très différents des employés d’une entreprise privée. Chaque fois qu’un employé ne veut pas être espionné, il peut utiliser son propre smartphone pour contourner le réseau de son employeur. Et bien sûr, le réseau privé d’un employeur n’est rien d’autre qu’un réseau privé. L’UE veut faire de même pour l’ensemble de l’internet public, auquel il serait impossible d’échapper.

Nous avons maintenant établi la nature radicale de cette proposition. Il est temps de se demander quelles sont les raisons invoquées par la Commission européenne pour motiver ce changement. La CE affirme que la vérification de l’identité dans le cadre de l’ICP n’est pas adéquate. Et que ces changements sont nécessaires pour l’améliorer.

Les affirmations de la Commission européenne sont-elles fondées ? Dans la plupart des cas, l’ICP actuelle exige uniquement que le demandeur prouve qu’il contrôle le site web. Bien que ce soit une bonne chose, cela ne garantit pas, par exemple, que la propriété web « apple.com » appartient à la société d’électronique grand public connue sous le nom d’Apple Inc, dont le siège se trouve à Cupertino, en Californie. Un utilisateur malveillant pourrait obtenir un certificat valide pour un domaine dont le nom est similaire à celui d’une entreprise bien connue. Ce certificat valide pourrait être utilisé dans le cadre d’une attaque reposant sur le fait que certains utilisateurs ne regardent pas assez attentivement pour s’apercevoir que le nom ne correspond pas tout à fait. C’est ce qui est arrivé à l’entreprise de paiement Stripe.

Pour les éditeurs qui souhaitent prouver au monde entier qu’il s’agit bien de la même entité, certaines autorités de certification proposent des certificats à validation étendue (EV). La partie « étendue » consiste en des validations supplémentaires par rapport à l’entreprise elle-même, telles que l’adresse de l’entreprise, un numéro de téléphone fonctionnel, une licence d’exploitation ou une constitution en société, ainsi que d’autres attributs typiques d’une entreprise en activité. Les VE sont listés à un prix plus élevé parce qu’ils nécessitent plus de travail de la part de l’AC.

Les navigateurs avaient l’habitude de mettre en évidence les caractéristiques visuelles d’une VE, telles qu’une couleur différente ou une icône de verrouillage plus robuste. Ces dernières années, les VE n’ont pas été particulièrement populaires sur le marché. Ils ont pratiquement disparu. De nombreux navigateurs n’affichent plus le retour d’information différentiel.

Malgré les faiblesses qui subsistent, l’ICP s’est nettement améliorée au fil du temps. Au fur et à mesure que les faiblesses ont été comprises, elles ont été corrigées. Les algorithmes cryptographiques ont été renforcés, la gouvernance s’est améliorée et les vulnérabilités ont été bloquées. La gouvernance par un consensus des acteurs de l’industrie a très bien fonctionné. Le système continuera d’évoluer, tant sur le plan technologique qu’institutionnel. Hormis l’ingérence des régulateurs, il n’y a aucune raison de s’attendre à ce qu’il en soit autrement.

L’histoire peu reluisante des VE nous a appris que le marché ne se soucie guère de la vérification de l’identité des entreprises. Toutefois, si les utilisateurs de l’internet le souhaitaient, il ne serait pas nécessaire de casser l’ICP existante pour le leur fournir. Il suffirait d’apporter quelques petites modifications aux flux de travail existants. Certains commentateurs ont proposé de modifier le handshake TLS ; le site web présenterait un certificat supplémentaire. Le certificat principal fonctionnerait comme aujourd’hui. Le certificat secondaire, signé par un QWAC, mettrait en œuvre les normes d’identité supplémentaires que la Commission européenne dit souhaiter.

Les raisons invoquées par la CE pour justifier eIDAS ne sont tout simplement pas crédibles. Non seulement les raisons invoquées ne sont pas plausibles, mais la CE ne s’embarrasse même pas des habituelles jérémiades moralisatrices sur la nécessité de sacrifier d’importantes libertés au nom de la sécurité parce que nous sommes confrontés à la grave menace de [en choisir une] traite des êtres humains, de la sécurité des enfants, du blanchiment d’argent, de l’évasion fiscale ou (ma préférée) du changement climatique. Il est indéniable que l’UE nous éclaire au gaz.

Si la CE n’est pas honnête quant à ses véritables motivations, alors que cherche-t-elle ? Gibson y voit une intention malveillante :

Et il n’y a qu’une seule raison possible pour laquelle ils veulent [obliger les navigateurs à faire confiance aux QWAC], c’est pour permettre l’interception à la volée du trafic Internet, exactement comme cela se passe au sein des entreprises. Et cela est reconnu.

(Ce que Gibson entend par « interception du trafic web » est l’attaque MITM décrite ci-dessus.) D’autres commentaires ont souligné les implications sinistres pour la liberté d’expression et la protestation politique. Dans un essai de longue haleine, Hurst avance l’argument de la pente glissante :

Lorsqu’une démocratie libérale établit ce type de contrôle sur la technologie du web, malgré ses conséquences, elle prépare le terrain pour que des gouvernements plus autoritaires fassent de même en toute impunité.

Mozilla, cité dans techdirt (sans lien avec l’original), dit plus ou moins la même chose :

Forcer les navigateurs à faire automatiquement confiance aux autorités de certification soutenues par le gouvernement est une tactique clé utilisée par les régimes autoritaires, et ces acteurs seraient enhardis par l’effet de légitimation des actions de l’UE…

Gibson fait une observation similaire :

Et puis il y a le spectre très réel des autres portes que cela ouvre : Si l’UE montre au reste du monde qu’elle peut dicter avec succès les conditions de confiance pour les navigateurs web indépendants utilisés par ses citoyens, quels autres pays suivront avec des lois similaires ? Désormais, chacun pourra simplement exiger que les certificats de son propre pays soient ajoutés. Cela nous mène exactement dans la mauvaise direction.

L’article 45 proposé est une attaque contre la vie privée des utilisateurs dans les pays de l’UE. S’il était adopté, il constituerait un recul massif non seulement pour la sécurité de l’internet, mais aussi pour le système évolué de gouvernance. Je suis d’accord avec Steve Gibson sur ce point :

Ce qui n’est pas clair du tout, et ce que je n’ai trouvé nulle part, c’est une explication de l’autorité par laquelle l’UE s’imagine pouvoir dicter la conception des logiciels d’autres organisations. Car c’est bien de cela qu’il s’agit.

La réponse à la proposition d’article 45 a été massivement négative. L’EFF écrit dans L’article 45 fait reculer de 12 ans la sécurité sur le web : « C’est une catastrophe pour la vie privée de tous ceux qui utilisent l’internet, mais en particulier pour ceux qui utilisent l’internet dans l’UE ».

L’initiative eIDAS est un incendie à quatre feux pour la communauté de la sécurité. Mozilla, le fabricant du navigateur web open source Firefox, a publié une déclaration commune de l’industrie pour s’y opposer. Cette déclaration est signée par une brochette d’entreprises d’infrastructure Internet, dont Mozilla, Cloudflare, Fastly et la Fondation Linux.

Extrait de la lettre ouverte mentionnée ci-dessus :

Après avoir lu le texte quasi définitif, nous sommes profondément préoccupés par le texte proposé pour l’article 45. La proposition actuelle élargit radicalement la capacité des gouvernements à surveiller à la fois leurs propres citoyens et les résidents de l’UE en leur fournissant les moyens techniques d’intercepter le trafic web crypté, ainsi qu’en sapant les mécanismes de contrôle existants sur lesquels comptent les citoyens européens.

Quel est l’objectif de ce règlement ? Le règlement est proposé depuis un certain temps. Une décision finale était prévue pour novembre 2023. Les recherches sur le web ne révèlent aucune nouvelle information sur ce sujet depuis cette date.

Ces dernières années, la censure pure et simple sous toutes ses formes a augmenté. Pendant la folie du covid, le gouvernement et l’industrie se sont associés pour créer un complexe industriel de la censure afin de promouvoir plus efficacement les faux récits et de supprimer les dissidents. Ces dernières années, les sceptiques et les voix indépendantes ont riposté, devant les tribunaux et en créant des plateformes neutres.

Si la censure de la parole reste un grand danger, les droits des écrivains et des journalistes sont mieux protégés que beaucoup d’autres droits. Aux États-Unis, le premier amendement protège explicitement la liberté d’expression et la liberté de critiquer le gouvernement. Les tribunaux peuvent être d’avis que tout droit ou liberté non protégé par un texte législatif très spécifique est un droit acquis. C’est peut-être la raison pour laquelle la résistance a eu plus de succès dans le domaine de la liberté d’expression que dans d’autres efforts visant à mettre fin à d’autres abus de pouvoir, tels que les quarantaines et les confinements de population.

Au lieu d’un ennemi bien défendu, les gouvernements déplacent leurs attaques vers d’autres couches de l’infrastructure de l’internet. Ces services, tels que l’enregistrement de domaines, les DNS, les certificats, les processeurs de paiement, l’hébergement et les magasins d’applications, consistent en grande partie en des transactions sur des marchés privés. Ces services sont beaucoup moins bien protégés que la liberté d’expression car, pour l’essentiel, personne n’a le droit d’acheter un service spécifique auprès d’une entreprise particulière. En outre, les services plus techniques tels que les DNS et l’ICP sont moins bien compris par le public que la publication sur le web.

Le système ICP est particulièrement vulnérable aux attaques car il fonctionne sur la base de la réputation et du consensus. Il n’existe pas d’autorité unique régissant l’ensemble du système. Les acteurs doivent se forger une réputation par la transparence, le respect des règles et le signalement honnête des défaillances. C’est ce qui la rend vulnérable à ce type d’attaque perturbatrice. Si l’ICP de l’UE tombe entre les mains des régulateurs, je m’attends à ce que d’autres pays suivent. L’ICP n’est pas la seule à être menacée. Une fois qu’il aura été prouvé que d’autres couches de la pile peuvent être attaquées par les régulateurs, elles seront également ciblées.

Traduction du Brownstone Institute par Aube Digitale

à

Aucun commentaire:

Enregistrer un commentaire