Les navigateurs web devront-ils accepter les certificats de sécurité imposés par les autorités ?

Plus de 300 chercheurs en cybersécurité, et plus d'une dizaine d'ONG et d'entreprises expertes en question de protection de la vie privée, alertent les instances européennes d'une discrète modification d'un règlement qui pourrait permettre aux États membres de l'UE de surveiller le trafic Internet de n’importe quel citoyen européen.

Plus de 300 chercheurs en cybersécurité et scientifiques originaires de 31 pays, ainsi que plusieurs ONG de défense des libertés numériques (dont le CDT, l'EFF, EDRi, l'Internet Society, La Quadrature du Net et le Tor Project), ont publié une lettre ouverte à l’attention des eurodéputés et du Conseil de l’Europe.

Ils s'inquiètent, rapporte Le Monde, d'un retour en arrière dans le projet de révision de l'Electronic Identification, Authentication and Trust Services (eIDAS), qui doit être finalisé d’ici au 8 novembre avant d’être soumis au vote au Parlement européen.

Son article 45 entend en effet obliger les éditeurs de navigateurs à considérer obligatoirement comme « fiables » des autorités de certification choisies par les membres de l’Union européenne (UE), ce qui fait bondir les signataires du courrier : 

« Cela signifie que des États membres pourraient décider seuls d’imposer [une mesure permettant] de surveiller le trafic Internet de n’importe quel citoyen européen, sans parade possible. »

Un problème déjà dénoncé en 2021, et 2022

Un problème qu'avait déjà dénoncé Mozilla en 2021, la Quadrature et l'EFF en 2022 (voir ici aussi), et que viennent de nouveau de déplorer, dans une autre lettre ouverte (.pdf), CloudFlare, la Linux Foundation, Mozilla et Mullvad, pour qui « une erreur de jugement, ou une action délibérée d’un seul État membre, pourrait affecter les citoyens de toute l’Union européenne ».

« En tant qu’Européen, je comprends très bien que l’Europe souhaite avoir le contrôle sur certaines parties de l’infrastructure d’Internet », explique au Monde Sylvestre Ledru, le responsable de l’ingénierie chez Mozilla. « Mais en tant qu’ingénieur, je sais que dans ce cas précis, la solution technique retenue n’est pas la bonne. »

Le texte proposé ne respecte pas la vie privée des Européens

Les règlements eIDAS étaient entrés en vigueur pour la première fois en septembre 2018, rappelle Computer Weekly, pour promouvoir et améliorer la confiance, la sécurité et la commodité des citoyens de l'UE grâce à un ensemble unique de règles à l'échelle de l'Union régissant l'identification électronique et les services de confiance, tels que l'identification électronique et les signatures, sceaux, horodatages, services de livraison et authentification de sites Web.

« Le texte avait été amendé par le Parlement européen pour intégrer les inquiétudes formulées par les experts », précise au Monde Gaëtan Leurent, chercheur à Inria et signataire du premier courrier. « Mais ces adoucissements ont malheureusement disparu du texte lors de la discussion par le trilogue [Commission européenne, Conseil de l’UE et Parlement européen] » : 

« Le texte proposé par le trilogue ne respecte pas la vie privée des citoyens européens, ni les principes garantissant des communications sécurisées. Sans l’intégration de garde-fous, il risque plutôt d’augmenter les risques [pour les internautes]. »

Des certificats EV & QWAC

Il donnerait en effet aux États membres de l'UE la possibilité de délivrer des « certificats d'authentification de sites Web qualifiés » (QWAC). Cette mise à jour remplace une précédente tentative infructueuse de l'industrie d'améliorer la transparence des certificats par le biais de ce que l'on appelle un certificat à validation étendue (EV), précise The Record.

Ces certificats devaient en effet non seulement authentifier le domaine, mais aussi indiquer qui était le propriétaire légal et l'opérateur du site web. Pour un certain nombre de raisons – en particulier le coût de la validation de la propriété légale – ces certificats EV n'ont pas réussi à être largement adoptés, explique notre confrère, sans plus de détails.

Les QWAC proposés seraient dès lors destinés à permettre aux gouvernements de pallier l'absence de certificats EV pour certains sites, ce qui, écrit The Record, « présente des avantages évidents compte tenu de l'importance de l'authentification lorsque les utilisateurs du web interagissent réellement avec un service gouvernemental plutôt qu'avec une page d'hameçonnage ».

Le propriétaire d'un certificat racine peut intercepter le trafic web

« Dans certains cas, il est possible que vous souhaitiez utiliser votre identité émise par le gouvernement pour faire des choses, par exemple signer des contrats juridiquement contraignants sous votre nom, et l'eIDAS est vraiment là pour ça, et c'est très bien, les gouvernements sont les personnes qui émettraient les certificats pour les identités émises par le gouvernement », explique Steven Murdoch, l'un des signataires de la lettre, professeur d'ingénierie de la sécurité à l'University College de Londres et directeur de l'ONG Open Rights Group, interrogé par The Record :

« Mais là où cette proposition pose problème, c'est qu'elle a été étendue aux navigateurs web, et ce ne sont pas seulement les signatures numériques qui sont utilisées pour signer des contrats et des choses liées aux identités gouvernementales. »

« Les certificats racine, contrôlés par ce que l'on appelle les autorités de certification, fournissent les mécanismes d'authentification des sites web en garantissant à l'utilisateur que les clés cryptographiques utilisées pour authentifier le contenu du site web appartiennent à ce site web. Le propriétaire d'un certificat racine peut intercepter le trafic web des utilisateurs en remplaçant les clés cryptographiques du site web par des substituts qu'il contrôle », résument les chercheurs en sécurité.