Des chercheurs et autres experts tirent la sonnette d’alarme sur la réglementation eIDAS que l’Europe est en train de finaliser. Les ajustements de dernière minute comportent d’énormes risques d’écoute clandestine des citoyens et de passage en revue complet de leur identité numérique.
eIDAS (Electronic IDentification Authentication and trust Services) est un règlement européen sur l’identification électronique. En bref, il s’agit d’un cadre juridique pour la création d’une identité numérique dans l’ensemble de l’UE. Un texte de loi est actuellement en préparation en la matière afin que, par exemple, un Belge puisse également utiliser les services publics en ligne en Espagne avec sa carte d’identité numérique nationale (ou une identification en ligne comme Itsme).
Mais dans une lettre ouverte, 335 chercheurs de 32 pays et plusieurs ONG, dont l’Electronic Frontier Foundations (EFF), préviennent que le texte de loi contient des éléments qui pourraient remettre en cause notre confidentialité et notre sécurité en ligne.
Article 45: mise sur écoute du trafic crypté
Concrètement, la lettre met en garde contre le contenu de l’article 45. Celui-ci donne aux autorités la possibilité de délivrer elles-mêmes des certificats (clés cryptographiques), qui ne peuvent être révoqués qu’avec l’autorisation de ces autorités.
Voilà qui semble à première vue très pratique, mais dans la lettre ouverte, les chercheurs préviennent que cela peut avoir de très lourdes conséquences. ‘Normalement, l’autorisation de créer de telles clés est précédée d’un processus de contrôle complexe. Mais en laissant de facto les autorités agir d’elles-mêmes, ce contrôle est contourné’, explique le professeur Bart Preneel (KU Leuven) à Data News.
Il rappelle que la France a dans le passé déjà été attrapée à délivrer de faux certificats: ‘Si cela devait se reproduire en la circonstance, un navigateur comme Firefox ne serait pas en mesure de supprimer ces clés’, prévient-il. Seul le gouvernement concerné peut le faire conformément au texte de loi.
Le fait que des autorités elles-mêmes délivrent des certificats, ouvre la porte à des abus et à un contrôle du trafic internet. Preneel cite en exemple Diginotar, un fournisseur de certificats néerlandais qui fut piraté en 2011. Cela a permis à l’Iran de délivrer de faux certificats permettant au pays d’espionner les citoyens qui consultaient par exemple leur compte Google. Le gouvernement pouvait, en tant que ‘man in the middle’ (homme du milieu), mettre le trafic sur écoute, alors que l’utilisateur découvrait un certificat indiquant que le trafic était crypté.
Sécurité supplémentaire uniquement si imposée
Une autre difficulté pour les chercheurs, c’est qu’il y a peu de place pour une sécurité supplémentaire. C’est ainsi que des navigateurs qui acceptent de tels certificats et les utilisent pour crypter le trafic, tentent d’y réagir, par exemple en demandant qu’un certificat émis soit aussi publiquement consultable.
Or le bât blesse ici aussi, car selon le texte actuel, une telle couche de contrôle supplémentaire n’est possible que si l’ETSI (l’institut européen des normes télécoms) approuve une telle couche ou méthode supplémentaire. Or cela augmente le risque que les dernières méthodes de sécurité ne soient pas utilisées par défaut.
Lier les activités en ligne
Un autre point délicat du texte de loi est qu’il permet aux autorités, mais également aux prestataires de services commerciaux, de lier les activités du portefeuille numérique d’un citoyen et ainsi de créer un solide profil numérique de ce dernier. La lettre ouverte indique que même si le texte de loi autorise l’utilisation de technologies de protection de la vie privée pour empêcher cela, cela n’est pas obligatoire.
Les chercheurs observent que ce flou dans le texte pourrait poser un risque pour la confidentialité, s’il était mis en œuvre par les états membres. Ils craignent que les entreprises technologiques puissent s’établir dans le pays pratiquant les règles les plus faibles pour maintenir séparer les activités en ligne distinctes.
À partir de là, une entreprise technologique pourrait relier les activités en ligne de tous les citoyens de l’UE sans grande restriction, en combinaison avec une identité européenne. C’est pourquoi la lettre ouverte appelle à une harmonisation de la protection de la confidentialité dans tous les états membres.
‘Sans ces amendements nécessaires, le règlement eIDAS risque de devenir un cadeau pour Google et d’autres grands acteurs technologiques. Une solution européenne à la question centrale du traitement des informations d’identité sensibles devrait protéger les citoyens contre le capitalisme de surveillance grâce à de puissants mécanismes techniques et être résiliente aux tentatives d’abus du système par le biais du choix de la juridiction’, ont déclaré les chercheurs dans la lettre.
‘Il est prévu que si l’industrie utilise ce portefeuille, vous serez autorisé à recourir à des pseudonymes’, explique Preneel. ‘Vous pourrez par exemple toujours prouver que vous êtes citoyen belge auprès d’une banque, d’une institution européenne ou d’une autre entreprise où vous vous identifierez, mais sans grande chance que ces éléments soient liés. Mais en dernière minute, ce volet est devenu optionnel. Si, par exemple, un état membre n’autorise pas les pseudonymes, tous les acteurs technologiques s’y installeront et pourront identifier beaucoup plus facilement les utilisateurs. Cela s’inscrit dans le contexte de la lutte contre la criminalité sur internet, mais nous pensons que rendre tous les citoyens identifiables, cela va trop loin.’
Changements de dernière minute
Preneel fustige le fait que le texte a été longtemps rendu public, mais dans sa version presque finale, il semble que des détails aient été adaptés à huis clos, ce qui en modifie considérablement le contenu.
‘Nous avons soudainement vu arriver une version, qui nous a été divulguée et qui, avec quelques ajustements mineurs, ouvre soudainement la porte à une surveillance de masse’, explique Preneel. Ce texte sera soumis le 8 novembre au trilogue, une consultation entre la Commission européenne, le Parlement européen et le Conseil des ministres. Il s’ensuivra une approbation au Parlement européen sur base de la dernière version du texte.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici