Mozilla a intensifié ses efforts pour dissuader les législateurs européens de forcer les navigateurs Web à reconnaître la validité des certificats Web litigieux créés par le bloc.
L’architecte à but non lucratif du navigateur Firefox a lancé une campagne exhortant les députés européens à modifier les propositions déposées par la Commission européenne (CE) qui obligeraient les navigateurs à accepter les certificats d’authentification de site Web qualifiés (QWAC).
QWACkers
L’UE a créé des QWAC en 2014 pour valider l’identité déclarée d’un site Web et donc, en théorie, protéger les utilisateurs contre la fraude, les logiciels malveillants et la surveillance.
Cependant, les QWAC, qui reposent sur des discrédité certificats à validation étendue, n’ont pas réussi à s’imposer dans l’écosystème Web au cours des huit années qui ont suivi leur introduction.
Mozilla soutient que les QWAC sont inférieurs à l’écosystème d’authentification Web existant de longue date, et que la proposition de la CE contournerait « la première ligne de défense essentielle contre la cybercriminalité sur le Web ».
Les députés européens devant voter sur la proposition en octobre, Mozilla a lancé une #SecurityRiskAhead campagne hier (13 juillet) avec un jeu de pêche au canard de style carnaval organisé devant le Parlement européen à Bruxelles.
Owen Bennett, responsable principal des politiques publiques de Mozilla pour l’Europe, a déclaré que le message de Mozilla semblait gagner du terrain.
L’amendement QWACs – article 45.2 – a été supprimé d’une récente brouillon (PDF) pour l’UE cadre d’identité numérique afin de tenir compte des révisions, et divers amendements liés à la sécurité ont déjà été déposés au parlement, a-t-il déclaré.
Une lettre ouverte appelant à repenser, publiée en mars par 38 experts en sécurité, a été « un grand tournant » pour persuader les députés, estime Bennett.
L’Internet Society, l’Electronic Frontier Foundation (EFF) et la plus grande autorité de certification au monde, Let’s Encrypt, ont également fait campagne contre la proposition.
Système de confiance
Le système d’authentification Web piloté par navigateur en place voit les sites Web certifiés utilisant le protocole HTTPS crypté TLS et affichant une icône de cadenas dans la barre d’adresse URL pour annoncer leur statut sécurisé.
N’OUBLIEZ PAS DE LIRE HTTP/3 évolue vers RFC 9114 – un avantage en matière de sécurité, mais non sans défis
Les certificats Web – ou SSL – sont actuellement émis par plus de 100 autorités de certification (CA), qui sont approuvées par Mozilla et d’autres fabricants de navigateurs de premier plan, dont Google, Microsoft et Apple.
Les détracteurs des QWAC, qui sont délivrés par des « fournisseurs de services de confiance » (TSP) approuvés par les gouvernements des États membres de l’UE, soutiennent qu’ils ne peuvent pas s’appuyer sur une expertise technique et des ressources comparables. Ils peuvent également souligner le fait que des centaines de millions d’internautes soumettent volontiers les détails de leur carte de paiement en ligne comme preuve que le statu quo est largement, et à juste titre, digne de confiance.
Mozilla CSO Marshall Erwin a averti que si la proposition bien intentionnée de la CE était « copiée ailleurs, le règlement donnera les outils aux gouvernements pour effectuer une surveillance parrainée par l’État du trafic Internet ».
Mozilla a cité des campagnes d’espionnage à grande échelle par La théocratie iranienne en 2011 et les gouvernements de Kazakhstan et Maurice en 2020 et 2021 respectivement comme exemples de l’activité que le règlement pourrait permettre.
« Plafond de la sécurité des sites Web »
« L’article 45 impose un plafond à la sécurité des sites Web », a déclaré Bennett. « Il indique que vous devez accepter les QWAC, ne mettre en place aucune protection supplémentaire et ne pas prendre de mesures lorsqu’une autorité de certification s’avère compromise. Pour nous, cela crée un risque intenable pour les utilisateurs de Firefox.
Le cadre d’identité numérique de l’UE sera intégré aux services électroniques d’identification, d’authentification et de confiance (eIDAS), adopté en 2014 pour faciliter l’émergence d’un marché intérieur européen des services de confiance.
CONSEILLÉ Identifiants décentralisés : tout ce que vous devez savoir sur la technologie d’identification Web de nouvelle génération
Bennett a déclaré que la campagne ne cherchait pas à « faire exploser toute la réglementation », mais que Mozilla voulait simplement « quelques petits ajustements » pour donner aux navigateurs la « discrétion d’agir lorsqu’une entité émettant des QWAC ne respecte pas les normes de sécurité existantes ou pose un problème ». risque de sécurité ».
Un porte-parole de la Commission européenne a déclaré :
Le règlement eIDAS est technologiquement neutre. Les QWAC ont été introduits en 2014 comme un moyen de renforcer la confiance et de réduire la fraude et sont utilisés pour garantir des transactions fiables dans l’environnement PSD2 (comme un moyen d’identification pour les fournisseurs de services de paiement).
Les inquiétudes soulevées par la communauté des navigateurs reposent sur une compréhension de la mise en œuvre technique de l’obligation de reconnaître les QWAC qui n’est pas soutenue par la proposition législative de la Commission. La proposition de la Commission vise à obtenir la reconnaissance des QWAC dans l’environnement du navigateur, ce qui peut être réalisé sans interférer avec les politiques existantes du magasin racine et les exigences de sécurité du navigateur Web. Il n’y a aucune raison pour qu’un certificat émis comme digne de confiance conformément au droit de l’UE ne soit pas reconnu comme tel par la communauté des navigateurs.
En collaboration avec les organismes de normalisation compétents et la disponibilité de normes communément et mondialement acceptées, l’acte d’exécution visé à l’article 45 définira les spécifications techniques/références aux normes applicables qui permettront la reconnaissance des QWAC conformément à ce qui précède.