Bonjour à toutes et tous,
C' est une vraie levée de boucliers qui a lieu en ce moment face au projet de réforme du règlement eIDAS (Electronic Identification, Authentification and Trust Services).
Plusieurs centaines d' experts en cryptographie et en informatique ont exprimé leurs inquiétudes en publiant
une lettre ouverte à destination du Conseil de l' Europe. En effet, une révision de l'article 45 de l'eIDAS cristallise particulièrement leurs préoccupations, et celle-ci doit finalisée le 8 novembre pour ensuite recevoir le coup de tampon final du Parlement européen. Un projet, qui, vous le comprendrez, va complètement à l'encontre de la volonté affirmée de l'UE lorsqu'elle assure qu'elle ne surveillera pas ses citoyens en mettant en place l'euro numérique. En revanche, cette décision s'inscrirait parfaitement dans le contexte actuel, où l'UE souhaite voir plus de transparence dans le fonctionnement des promoteurs de services numériques, particulièrement les GAFAM. Alors quel est cet article 45 que l'Europe veut absolument retoucher ?
La confiance numérique remise en question
Cet article de l'eIDAS est relatif à la gestion des certificats de sécurité par les navigateurs. Pour le moment, les éditeurs de navigateurs sont libres dans le choix des émetteurs de ces certificats, en suivant leurs propres critères. C'est donc ce point particulier qui est ciblé par la révision de l'article 45. En effet, il est prévu que les éditeurs soient obligés de choisir parmi des émetteurs uniquement validés par des États membres de l'UE.
La lettre ouverte adressée au Conseil explique que « cela signifie que des États membres pourraient décider seuls d'imposer [une mesure permettant] de surveiller le trafic Internet de n'importe quel citoyen européen, sans parade possible ». Un tel changement viendrait complètement ébranler le fonctionnement des navigateurs actuels en plus d'être franchement questionnable d'un point de vue de la confidentialité.
Ce qui inquiète également les autrices et auteurs de la lettre ouverte, c'est qu'un tel dispositif pourrait mettre entre les mains des États des quantités colossales de données. Un exemple assez récent illustre parfaitement quel type de débordement cela pourrait provoquer : celui de Qaznet, une autorité de certification officielle kazakhe. Celle-ci avait été prise en flagrant délit d'espionnage des internautes et avait donc été bloquée par Mozilla et Chrome.
Des organisations comme Cloudflare, la fondation Linux et la fondation Mozilla (qui s'était déjà dressée contre le projet de révision de l'article 45 en 2021) sont évidemment très concernées par ce changement. Elles ont coécrit un autre texte mentionnant que « le système actuel fonctionne (…) mais il est aussi délicat ». Ces institutions craignent un effet domino si la nouvelle révision est adoptée ; un scénario catastrophe où un mauvais choix entrepris par un seul État membre pourrait affecter tous les citoyens de l'UE.
Une procédure opaque et des recommandations ignorées
Un des chercheurs en cryptographie de l'Inria, (Institut national de la recherche en informatique) Gaëtan Leurent, admet pourtant que le Parlement européen avait fait en sorte d'intégrer les recommandations d'experts pour entamer ce processus d'amendement. Recommandations, qui n'ont plus l'air d'être d'actualité. Il déplore ainsi que « ces adoucissements ont malheureusement disparu du texte lors de la discussion » entre le Parlement, la Commission et le Conseil de l'UE.
Sylvain Ledru est responsable de l'ingénierie chez Mozilla, et lui aussi est plutôt surpris de la tournure des événements. Il a pourtant évoqué « un vrai dialogue » en 2021 lors d'une grande réunion entre éditeurs de navigateurs et députés européens à Bruxelles. Cependant, les conclusions du trilogue européen ne sont pas accessibles publiquement et les raisons de leurs choix resteront donc plongées dans l'opacité.
Chercheurs, scientifiques et ONG signataires de la lettre appellent à une révision de la nouvelle copie européenne. Selon eux, ce changement de l'article 45 pourrait avoir l'effet inverse : mettre en danger les internautes plutôt que de les protéger. Souveraineté numérique et libertés fondamentales : une équation toujours extrêmement délicate.
Sources : Le Monde, eIDAS, Camille Coirault clubic
Pour la suite,
@ vous de voir ...