Si l’on en croit la Commission européenne, les navigateurs comme Chrome, Edge, Firefox, Opera et Safari devront bientôt reconnaître les certificats selon la norme Qualified Website Authentication Certificates propre à l’UE pour l’authentification des sites web. C’est ce que prévoit le projet d’amendement du règlement eIDAS, qui doit également introduire une nouvelle identité numérique européenne (EUid). Or, 38 chercheurs renommés en sécurité informatique avertissent que ce projet pourrait se retourner contre eux.

« Nous comprenons que l’objectif de ces dispositions est d’améliorer l’authentification sur Internet », écrivent les experts dans une lettre adressée au Parlement européen et publiée jeudi. Mais dans la pratique, elles auraient « l’effet inverse » et « affaibliraient drastiquement » la sécurité sur le web. Cela entraîne des risques importants à une époque où de nombreux Européens craignent les vols d’identité et la cybercriminalité.

Les certificats, un élément de sécurité important

L’authentification sur le web permet généralement de s’assurer que les données sont envoyées aux bons destinataires et non à des cybercriminels qui ont acquis un nom de domaine et exploitent des sites web falsifiés via celui-ci. « C’est un élément important de la société numérique et la base du commerce et des services publics », expliquent les scientifiques et les techniciens, dont font partie Daniel Bernstein, Ian Goldberg, Alex Halderman, Tibor Jager, Tanja Lange, Wendy Seltzer du World Wide Web Consortium (W3C) ainsi qu’Alexis Hancock et Jon Callas de l’Electronic Frontier Foundation (EFF).

Dans la pratique, la fonction de sécurité est assurée par des certificats de site web qui confirment l’identité d’un site web. Compte tenu de l’importance de cette procédure, les signataires soulignent que les émetteurs de preuves pertinentes doivent être strictement contrôlés au préalable. Actuellement, ce processus est généralement effectué par les fabricants de navigateurs comme Apple, Google, Microsoft et Mozilla « au nom de leurs utilisateurs ». Ceux qui souhaitent être acceptés dans leurs programmes respectifs doivent satisfaire à des normes de sécurité élevées.

Des QWACs avec des défauts

Avec l’article 45, paragraphe 2, du projet, la Commission souhaite à présent promouvoir l’introduction de Qualified Website Authentication Certificates (QWAC), indique la lettre. Il s’agit d’une forme spécifique de certificat qui était déjà prévue dans le règlement eIDAS initial de 2014, « mais qui ne s’est pas imposée dans l’écosystème en raison de lacunes dans la mise en œuvre technique ».

Avec la réforme prévue, les fabricants de navigateurs seraient désormais obligés d’accepter les QWAC indépendamment de leurs propres directives de vérification, dénoncent les chercheurs. Celle-ci saperait l’ensemble de l’écosystème soutenu par de nombreuses parties prenantes « pour la sécurisation de la navigation sur Internet » et « augmenterait considérablement les risques de cybersécurité pour les internautes ».

Étant donné qu’avec la proposition, certains certificats de sites web devraient contourner les normes de sécurité existantes, l’article 45 envisagé augmente, selon les experts, le risque que des preuves peu sûres, mais délivrées en bonne et due forme, soient transmises à des cybercriminels. La communauté de la sécurité informatique ne pourrait alors plus réagir suffisamment rapidement si un tel abus était constaté.

« Tendance dangereuse dans la politique de cybersécurité »

D’une manière générale, l’approche évoquée signale « une tendance dangereuse dans la politique de cybersécurité », avertissent les experts : « Elle oblige les acteurs privés à se décharger de la responsabilité de leurs produits et services ». A l’opposé, l’hypothèse selon laquelle les autorités de certification désignées par l’Etat sont soumises aux normes de sécurité du gouvernement et ne peuvent donc pas présenter de risque. Or, cette approche est en contradiction avec les normes établies dans le domaine de la cybersécurité et de la gestion des risques intersectoriels.

Les défenseurs des droits des citoyens estiment que le projet de carte d’identité en ligne à l’échelle de l’UE est également très problématique du point de vue de la protection des données. Avec l’EUid, la Commission veut attribuer à chaque citoyen un numéro d’identification à vie, a récemment déploré Thomas Lohninger de l’organisation epicenter.works. Cela permettrait de rassembler des informations provenant de nombreux domaines de la vie et de rendre les citoyens transparents.