335 spécialistes de cybersécurité et des ONG s’inquiètent de la dernière mouture de la révision d’une loi européenne, qui traite des certificats de sécurité des sites Web. Ils avertissent, dans une lettre ouverte et une déclaration commune, que le texte actuellement discuté ne respecte pas le droit à la vie privée des internautes. Il ne sécuriserait pas non plus les communications en ligne. Pire, il permettrait aux gouvernements européens de surveiller leurs propres citoyens et les résidents de l’Union européenne.
Attention aux « graves conséquences pour la vie privée des citoyens européens ». Dans une lettre ouverte publiée ce jeudi 2 novembre, 335 experts en cybersécurité et cryptographie, ainsi que des ONG provenant d’une trentaine de pays, tirent la sonnette d’alarme, à propos de la future révision d’un règlement européen appelé eIDAS ( « Electronic IDentification And trust Services »). Dans une déclaration distincte, 10 autres organisations « qui construisent et sécurisent l’Internet », dont les fondations Mozilla et Linux, ont également publié un message similaire, quelques heures plus tard. La future loi européenne est actuellement discutée en trilogue – la négociation entre le Parlement, la Commission et le Conseil de l’Union européenne (UE).
Et la dernière version qui serait sur la table – le texte n’a pas été publié – préoccupe au plus haut point ces chercheurs et ces organisations. En théorie, la future révision de ce règlement de 2014 est censée apporter « des garanties technologiques adéquates pour les citoyens et les entreprises ». Elle sécuriserait « les interactions numériques des citoyens avec les institutions gouvernementales et l’industrie (…) tout en protégeant la vie privée des citoyens », écrivent les auteurs de la lettre, adressée aux membres du Parlement européen et du Conseil de l’Union européenne. Mais en pratique, la future régulation « aboutira très probablement à moins de sécurité pour tous », regrettent-ils.
Dans leur viseur, un article 45 qui introduirait de nouvelles règles aux navigateurs Web comme Chrome ou Firefox au sujet des certificats de sécurité, qu’ils pouvaient jusqu’à présent choisir librement. Et selon la dernière mouture du texte, « n’importe quel État membre » pourrait imposer des certificats de sécurité aux navigateurs Web. Cela « aura de graves conséquences pour la vie privée des citoyens européens, la sécurité du commerce européen et l’Internet dans son ensemble », s’alarment les auteurs et signataires de la lettre ouverte. Concrètement, les États « pourraient décider, seuls, d’imposer le fait de surveiller le trafic Internet de n’importe quel citoyen européen », déplorent-ils.
Comment les systèmes de certification fonctionnent-ils aujourd’hui ?
Pour le comprendre, il faut revenir à la façon dont ces systèmes de certification fonctionnent. « Lorsque l’on navigue sur le Web, on a parfois un petit cadenas à côté de l’URL de son navigateur web, qui signifie deux choses. D’abord, que la connexion est sécurisée », explique Olivier Blazy, professeur en cybersécurité à l’École Polytechnique, joint par 01net.com. Toutes les données envoyées comme vos identifiants et mot de passe ou vos données bancaires seront chiffrées, ce qui signifie que seul le site et vous y avez accès.
« Ce petit cadenas indique aussi que vous parlez au bon site Web », ajoute le professeur Blazy. Si vous allez sur telle page Web, il faut être sûr d’être sur le site légitime, et pas sur un faux site qui prétend être l’authentique. « Et pour ce faire, on a ce qu’on appelle un certificat, qui fonctionne un peu comme une signature de notaire. Il signifie pour l’autorité de certification qui le délivre : ” j’ai bien vérifié ce site, et vous pouvez lui faire confiance” », poursuit-il.
Aujourd’hui, des sociétés ont été jugées dignes de confiance pour garantir que ce travail de vérification a bien été fait : ce sont les autorités de certification. Ces dernières doivent respecter « une législation, complétée par des processus publics et une vigilance constante de la part de la communauté de la sécurité pour révéler les activités suspectes », soulignent les auteurs de la lettre.
Ces autorités peuvent effectuer trois niveaux de vérification. Elles peuvent vérifier que la personne qui demande le certificat contrôle bien le domaine auquel on essaie d’accéder – donc qu’elle est bien capable de mettre à jour une page sur le site en question. Elles peuvent aussi procéder, moyennant finance, à des contrôles plus poussés, comme le fait de s’assurer de l’identité de la personne qui fait la demande de certificat.
« Or, officiellement, ce que cherche à faire la révision du Règlement européen, c’est défendre les QWAC (Qualified Website Authentication Certificate), qui sont un type de certificat européen qui effectue ces vérifications étendues », explique le professeur Blazy.
Les États membres pourraient imposer des certificats aux navigateurs
Les navigateurs vont par exemple faire confiance à Let’s Encrypt (pour le niveau de base) ou Verisign (des niveaux plus élevés). Dans le passé, il y a eu parfois des problèmes, comme lorsque « Verisign a certifié des personnes qui prétendaient être Microsoft. Cette entreprise a généré des certificats pour une fausse société, qui a pu introduire des failles de sécurité volontaire sur certaines machines », se remémore l’expert en cybersécurité. Mais globalement, le système actuel fonctionne, même s’il repose sur « un équilibre très fragile. On fait donc très attention dès que des lois essaient de changer ce fonctionnement », souligne Olivier Blazy.
« Il est tout simplement plus sûr, plus clair et plus transparent d’avoir un seul mécanisme de confiance pour les sites web, convenu, bien huilé, ouvert, mondial et standard », plaide Alec Muffett, expert anglo-américain en cybersécurité, dans un billet de blog de ce jeudi. « La confiance en ligne nécessite un consensus mondial et des normes pour une communication solide et sûre », poursuit-il – et non une réglementation régionale européenne qui rendrait des États responsables de ces certificats de certification, dit-il en substance.
Or, la révision du Règlement européen, actuellement en discussion, imposerait aux navigateurs de devoir accepter des certificats qui émanent d’un des 27 États membres et de tout pays tiers approuvé par l’UE. Ces États auraient donc « la possibilité d’insérer des certificats à volonté », déplorent les signataires de la lettre ouverte. Et les navigateurs comme Safari ou Mozilla n’auraient pas le droit de les refuser, y compris lorsqu’ils détectent un problème de sécurité comme un cas d’ingérence de la part d’un pays étranger.
La porte ouverte aux ingérences et à la surveillance ?
Comment les choses fonctionneraient-elles si ce futur système était adopté ? « Imaginez que vous essayez d’accéder à votre compte client sur telle plateforme. Si vous allez sur le site de la bonne entreprise et que vous avez votre login et votre mot de passe, tout se passe bien », explique Olivier Blazy. « Mais si, demain, un pays étranger crée un miroir du site de cette entreprise et vous redirige dessus, et que votre navigateur – à qui on a imposé un certificat – vous dit qu’il s’agit du site légitime. Vous allez envoyer vos informations de connexion. Et le pays étranger, à l’origine du certificat, pourra déchiffrer le trafic et récupérer les données que vous envoyez », déplore le spécialiste.
« Le propriétaire d’un certificat peut en effet intercepter le trafic Web des utilisateurs en remplaçant les clés cryptographiques du site web par des substituts qu’il contrôle », écrivent les auteurs de la lettre ouverte. « Il s’agit d’un effet secondaire tout à fait prévisible. Dans des pays démocratiques où tout se passe bien, cela ne sera pas exploité. Mais comme il s’agit d’une règle qui s’appliquerait à l’échelle européenne, il suffit qu’un seul pays de l’UE dévie un petit peu, et cela pourrait devenir vraiment dramatique », s’alarme Olivier Blazy.
« Si ce règlement est mis en œuvre, les citoyens devront, sans avoir le choix, faire confiance à toutes les autorités de certification définies par les États membres », expliquent les signataires de la lettre ouverte qui travaillent à l’École polytechnique, l’Inria, à l’université d’Oxford, à l’Institut Max-Planck, à Stanford, ou encore à la Free Software Foundation. Le texte permettrait aux gouvernements européens d’intercepter toutes les informations relatives à la navigation des citoyens de l’UE, y compris les informations bancaires, les informations sensibles, les dossiers médicaux ou encore les photos de famille, ajoutent-ils.
De quoi mettre à mal « la confiance et la sécurité en ligne en Europe et dans le monde entier ». Pour cette raison, « le texte législatif doit être retravaillé de toute urgence afin d’éviter ces graves conséquences », plaident les auteurs de la lettre.
« Le dernier pays à avoir tenté une proposition aussi illibérale, mal conçue, voire insensée, était le Kazakhstan », en 2019, tacle l’expert en cybersécurité Alec Muffett, sur son blog. À l’époque, le gouvernement local avait souhaité imposer un certificat SSL/TLS officiel kazakh à tous les navigateurs Web. L’objectif était alors de pouvoir espionner les internautes, rappelle l’ingénieur.
Afin d’éviter d’en arriver là, les auteurs de la lettre ouverte, comme celle de la déclaration commune des organisations du Web, demandent que les autorités européennes revoient leur copie. La future loi « représente une intervention dangereuse dans un système essentiel à la sécurisation de l’Internet », écrivent-ils. Contactés par 01net.com, ni le Parlement européen, ni le Conseil n’avaient répondu à nos demandes de commentaires, à l’heure de la publication de cet article. Le projet de révision du Règlement doit être finalisé dans les prochains jours, avant d’être voté par le Parlement européen.