La Commission européenne a finalisé le cadre législatif de l’identité numérique européenne. Elle dément catégoriquement qu’il soit possible d’espionner les citoyens, mais les experts qualifient cela d’absurde.
Il y a un hic dans les détails du texte juridique. La semaine dernière, plus de 300 experts (désormais rejoints par plus de 500 chercheurs), dont le cryptographe belge Bart Preneel, ont rédigé une lettre ouverte avertissant que l’article 45 de ce texte pourrait légalement permettre à un gouvernement d’espionner les citoyens avec ses propres certificats. Après tout, ces derniers ne seront pas contrôlés par un processus standard et ne pourront même pas être abrogés en cas d’abus.
La Commission européenne a donné jeudi une conférence de presse sur la législation eIDAS et a souligné que selon elle, il n’y a pas de problème. En conséquence, l’article 45 en question n’a pas été modifié. ‘Il n’y a pas besoin d’une adaptation, mais nous tenons à préciser qu’il y a des malentendus à ce sujet’, a déclaré un porte-parole de la Commission à Data News.
L’Europe: ‘Différence entre identification et cryptage’
La Commission affirme que le QWACS (Qualified Website Authentication Certificate) permet d’identifier les utilisateurs et les sites web, mais que le règlement concerne spécifiquement l’identification d’un site web: pour vérifier si le site d’un gouvernement ou d’un service est bien le site web réel, sans aucune autre finalité (comme le cryptage du trafic entre l’utilisateur et le service et donc éventuellement une écoute clandestine).
L’Europe a entendu les critiques et insiste sur le fait qu’elles sont injustifiées. ‘Nous avons lu les commentaires et nous en avons discuté avec nos experts la semaine dernière. Cela nous amène à la conclusion que les critiques ne sont pas fondées. Il n’y a aucun risque d’espionnage gouvernemental ou de violation de la communication (cryptée) et nous voulons le clamer haut et fort. Cela vaut aussi pour les certificats qui existent depuis des années et qui n’ont jamais été un problème auparavant.
Des experts: ‘Absurde’
Cependant, cette explication a été immédiatement réfutée. Le professeur Bart Preneel (KU Leuven), une autorité mondiale en matière de cryptage, est catégorique à ce sujet: ‘L’idée que l’identité et la clé publique puissent être séparées dans un certificat est absolument incorrecte pour le moment.’ Et d’apporter la nuance, selon laquelle il est possible de revoir les normes pour que cela soit possible, mais ce n’est pas le cas actuellement et cela lui semble peu probable.
Preneel affirme que dans TLS (Transport Layer Security, le protocole de cryptage utilisé aujourd’hui), l’identité est liée à une clé publique. Sur la base de cette clé, la session d’un utilisateur est cryptée. ‘Mais si le certificat QWACS contient une clé erronée, l’utilisateur du navigateur a l’impression qu’il se trouve sur le bon site web, et que toutes les informations sont cryptées, mais avec une clé connue du gouvernement afin que ce dernier puisse intercepter et lire toutes les communications.’
Preneel pense cependant que certaines parties seront encore adaptées pour affaiblir l’interprétation, de sorte que les navigateurs puissent toujours ignorer certains certificats ou certaines informations qu’ils contiennent. Mais il ne sait pas si cela aura beaucoup d’impact sur la capacité d’abuser du système.
Mozilla: ‘Une occasion manquée’
Mozilla, l’organisation à but non lucratif à l’initiative de Firefox, est également critique. ‘On aurait pu faire plus pour améliorer le texte’, déclare ainsi Tasos Stampelos, EU Public Policy & Government Relations Lead chez Mozilla. ‘Les considérants (le texte d’accompagnement censé encadrer l’interprétation du texte juridique, ndlr) ont été adaptés, et on y voit des améliorations. Mais tel n’est pas le cas du texte juridique proprement dit. On y trouve encore et toujours qu’il n’y a pas d’exigences de sécurité supplémentaires et qu’il convient de ne suivre sur les normes de l’ETSI (voir ci-dessous, ndlr).’
‘La Commission prétend qu’il s’agit d’un malentendu, mais cela n’a pas été clarifié dans le texte juridique et donc, rien n’a été résolu.’ Mozilla, indépendamment de Bart Preneel, répète qu’il n’y a pas de séparation entre l’identification d’un site web et le cryptage du trafic, lorsqu’il s’agit de certificats.
Normes de sécurité limitées: une nécessité pour l’harmonisation
Une autre critique est que le contrôle de ces connexions n’est peut-être pas la meilleure qui soit. En bref, il existe des normes pour ce faire, mais elles sont déterminées par l’ETSI (l’institut européen de normalisation des télécommunications). Les experts craignent qu’il s’agisse d’un obstacle pour les états membres qui veulent imposer de meilleures mesures de sécurité. Ici, l’Europe apporte la nuance selon laquelle un compromis est nécessaire pour l’interopérabilité.
‘Ce que nous voulons dire par là, c’est qu’il n’y a pas d’exigences supplémentaires, autres que celles que nous incluons dans les règles. Il est normal que si l’on veut uniformiser, il convient d’éviter que chaque partie ait des règles différentes. Il faut que cela fonctionne. Le texte ne dit pas que personne n’est autorisé à contrôler la sécurité’, selon la Commission.
Enfin, il semble également que les navigateurs resteront libres au niveau de leurs mesures de sécurité. L’affirmation, selon laquelle les règles européennes limiteraient cela, en obligeant les navigateurs à accepter automatiquement les certificats des états membres, n’est pas juste, selon la Commission européenne: ‘Nous ne voulons pas cela non plus, et nous le soulignons clairement.’
Preneel qualifie la communication de l’Europe de tentative de semer la confusion: ‘Elle a lu la lettre ouverte et l’ignore. Elle rend délibérément les choses plus compliquées, mais son histoire de certification et de clés est absurde.’ Il souligne également que l’interception du trafic internet par les autorités n’est pas un fantasme: ‘Des pays comme la France ou l’Inde ont déjà été pris sur le fait, et la CIA et certaines entreprises privées l’ont déjà fait.’
Davantage de contrôle possible, mais pas autorisé
Selon Preneel, c’est aussi un mythe que l’ETSI n’autorise pas une sécurité supplémentaire à des fins d’harmonisation: ‘Il faut un minimum d’exigences, mais il est tout à fait possible pour une organisation ou un gouvernement de placer la barre plus haut. Rien que pour ce genre d’interceptions, Google a la possibilité de dresser une liste publique pour pouvoir contrôler les faux certificats et ainsi dissuader les agresseurs avec plus de transparence. Mais si l’ETSI ne le permet pas, une organisation ne peut rien faire.’
Mozilla considère cela comme un risque de sécurité pour l’avenir. Stampelos: ‘De nouvelles techniques vont émerger pour compromettre la sécurité. Si elles se manifestent, nous ne pourrons pas nous contenter d’améliorer ce système. C’est à l’image de la technologie d’aujourd’hui, lorsqu’il manque d’options pour l’adapter, c’est un problème. Elle n’est pas flexible et certainement pas à l’épreuve du temps.’
Preneel ne s’attend pas non plus à ce que l’ETSI maintienne ces normes très élevées. L’organisation est composée d’acteurs télécoms qui, à leur tour, dépendent des gouvernements pour leurs licences. Preneel: ‘En fait, ils sont dans la poche du gouvernement, ils obéiront à ce qu’on leur imposera.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici