Une proposition de l’UE visant à forcer les navigateurs à accepter les certificats Web créés par le bloc risque de « perturber un ensemble de règles et de technologies soigneusement organisées qui sous-tendent presque toute la confidentialité et la sécurité en ligne », selon un expert de premier plan en cybersécurité.
Joseph Lorenzo Hall, éminent technologue à l’Internet Society, fait partie des 38 signataires d’un lettre ouverte adressée au Parlement européen qui critique les projets.
Les autres signataires comprennent des universitaires, des ingénieurs en sécurité et des chercheurs en sécurité aux États-Unis, au Canada, au Royaume-Uni, en France et en Allemagne.
Médecine QWAC
Publiée le 3 mars, la missive exhortait les législateurs européens à rejeter une proposition d’amendement à la eIDAS – ou Electronic Identification, Authentication, and Trust Services – règlement adopté en 2014 pour faciliter l’émergence d’un marché intérieur européen des services de confiance.
eIDAS a mandaté la création de certificats d’authentification de site Web qualifiés (QWAC), qui garantissent essentiellement l’identité déclarée d’un site Web. En tant que tel, le programme vise à protéger les utilisateurs contre les domaines malveillants qui se présentent comme des plates-formes légitimes et donc les logiciels malveillants, la surveillance, le vol d’identité et la criminalité financière.
CONSEILLÉ L’ENISA exhorte à l’innovation dans le traitement des données face à la vague croissante de violations des soins de santé
Cependant, les critiques soulignent que les QWAC tentent de résoudre un problème déjà résolu par un système existant – mais moins efficacement. Jusqu’à présent, les QWAC n’ont pas réussi à gagner du terrain dans l’écosystème Web « en raison de défauts de son modèle de mise en œuvre technique », indique la lettre ouverte.
Pire encore, en obligeant les navigateurs Web à reconnaître l’autorité des QWAC, une proposition controversée de la Commission européenne contournerait les protections de sécurité éprouvées offertes par les mécanismes en vigueur.
Status Quo
À l’heure actuelle, des certificats de site Web valides sont délivrés par plus de 100 autorités de certification (AC), dont l’adéquation à ce rôle critique de contrôle d’accès est approuvée par les principaux fabricants de navigateurs.
Les sites Web qui réussissent utilisent le protocole HTTPS crypté TLS, qui protège les communications avec le site, et sont signalés comme sécurisés par une icône de cadenas dans la barre d’adresse URL.
Google (développeur de Chrome), Mozilla (Firefox), Microsoft (Edge et IE) et Apple (Safari) exécutent tous des « programmes racine » qui valident la conformité des autorités de certification aux pratiques d’émission. Les CA qui ne respectent pas les normes requises peuvent être supprimées.
En revanche, les QWAC sont délivrés par des « fournisseurs de services de confiance » (TSP) qui sont approuvés, non par les navigateurs, mais par les gouvernements des États membres de l’UE.
Cela a incité le directeur technique de Firefox, Eric Rescorla, à prévenir que le schéma de l’UE peut enhardir les régimes répressifs qui ont déjà essayé et échoué à « renforcer leurs capacités de surveillance en forçant les navigateurs à faire automatiquement confiance à leurs autorités de certification ».
Lacune technique
En forçant les développeurs de navigateurs à inclure les TSP dans leurs programmes racine, de nombreux experts en sécurité estiment que l’UE sape inutilement un système géré adroitement par des experts techniquement compétents.
« En termes simples, les fournisseurs de navigateurs actuels ont une expérience significative dans la vérification des certificats », explique le Dr Lukasz Olejnik, chercheur et consultant indépendant en sécurité et cosignataire de la lettre ouverte. La gorgée quotidienne.
Le évaluation de l’impact car le règlement proposé, a-t-il ajouté, n’explique pas comment les décideurs politiques de l’UE pourraient égaler cette expertise.
La lettre ouverte des experts de la sécurité informatique concernés a déclaré que cela « signalait une tendance dangereuse en matière de politique de cybersécurité ». Ça lit:
Dans le domaine de la cybersécurité en particulier, où les menaces évoluent constamment et où les réponses opérationnelles en temps réel sont essentielles, les cadres réglementaires ne doivent pas avoir pour effet d’empêcher les éditeurs de prendre des mesures de sécurité dans l’intérêt de leurs utilisateurs.
« Le système n’est pas cassé »
Le fait que des centaines de millions d’utilisateurs soumettent régulièrement des détails de carte de paiement en ligne, souvent à des sites Web avec lesquels ils ne sont pas familiers, atteste sans doute du succès du système actuel à engendrer la confiance dans le Web.
Les critiques pensent que la proposition de l’UE pourrait saper cette confiance durement gagnée en augmentant le risque que des certificats soient délivrés involontairement à des cybercriminels.
« Je pense que nous pouvons tous comprendre vouloir avoir des racines de confiance contrôlées au niveau national et rien n’empêche l’UE de le faire, et j’espère bien le faire », a déclaré Joseph Lorenzo Hall de l’Internet Society. La gorgée quotidienne.
« Cependant, ces « programmes racines » qui stockent les clés de divers aspects d’Internet et du Web sont des écosystèmes équilibrés où les incitations, l’évolution, l’auditabilité et la responsabilité sont conçues dans le seul but de protéger et de sécuriser des milliards de transactions et de communications chaque jour.
« C’est un cas où le système n’est pas cassé, mais le modifier pour faire ce que l’UE veut ici est lié à le casser. »
Mozilla, l’association à l’origine du navigateur Firefox, a exprimé ses propres réticences via un consultation ouverte sur les plans en 2020.
Entre autresl’organisation a déclaré que « la décision de lier cryptographiquement un QWAC à une connexion ou à un certificat TLS » violerait les principes professés par eIDAS de prioriser l’authentification, l’interopérabilité et la neutralité technologique.
Il a également déclaré que les exigences techniques et politiques de Firefox « sont plus transparentes, ont des exigences d’audit plus strictes et permettent une meilleure surveillance publique par rapport à ce que l’eIDAS exige des TSP ».
Néanmoins, en juin 2021, la Commission européenne a proposé de rendre obligatoire la reconnaissance des QWAC dans le cadre d’une nouvelle cadre d’identité numérique (PDF) pour eIDAS.
La voie à suivre
Le Dr Olejnik soupçonne les décideurs politiques de l’UE de vouloir être perçus comme faisant « quelque chose » en matière de sécurité Web. « Alors ils ont fait exactement cela – ils ont fait quelque chose », a-t-il dit. « J’imagine que psychologiquement c’est aussi très difficile de faire marche arrière sur des propositions où l’on est investi organisationnellement. Cela fonctionne de la même manière dans les environnements d’entreprise.
Lorenzo Hall a cependant « bon espoir » que le bon sens finira par l’emporter.
« Nous espérons que les décideurs politiques de l’UE comprennent maintenant que l’imposition de ces certificats au paysage existant risque non seulement d’échouer, dans la mesure où ces certificats ne seront probablement pas très utiles, mais cela risque également de bouleverser complètement un ensemble soigneusement organisé de règles et de technologies qui sous-tendent presque toute la confidentialité et la sécurité en ligne », a-t-il déclaré.
Le Dr Thyla van der Merwe, autre cosignataire de la lettre ouverte et directrice générale du Laboratoire d’informatique du futur de l’ETH en Suisse, raconte La gorgée quotidienne: « Les fournisseurs de navigateurs ont beaucoup d’expérience en matière de sécurité des utilisateurs en ligne, et la vérification des certificats numériques est une pièce importante de ce puzzle.
« Idéalement, la CE devrait travailler avec les fournisseurs de navigateurs pour trouver une solution qui permette aux politiques de navigateur de rester en place tout en répondant aux objectifs du cadre d’identité numérique de l’UE. »
Le bureau de presse de l’UE n’a pas répondu à une demande de commentaires de La gorgée quotidienne.
LIRE LA SUITE « Navigateur dans un navigateur » : une technique de phishing simule des fenêtres contextuelles pour exploiter les utilisateurs