Dernière chance de modifier eIDAS : la loi secrète de l’Union européenne (UE) qui menace la sécurité d’Internet

 (last-chance-for-eidas.org)
2 points par GN⁺ 2023-11-03 | 1 commentaires | Partager sur WhatsApp
  • Le texte presque final du règlement eIDAS a été approuvé par les principales institutions de l’UE et devrait être soumis pour approbation d’ici la fin de l’année.
  • Les nouvelles dispositions légales imposent à tous les navigateurs web européens de faire confiance aux autorités de certification et aux clés de chiffrement choisies par les gouvernements de l’UE.
  • Ce changement étend la capacité des gouvernements de l’UE à intercepter le trafic web chiffré dans toute l’UE et à surveiller les citoyens.
  • N’importe quel État membre de l’UE pourra distribuer des clés de chiffrement aux navigateurs web, et les navigateurs ne pourront pas retirer leur confiance envers ces clés sans l’autorisation du gouvernement.
  • Cela permettrait à n’importe quel État membre de l’UE d’émettre des certificats de site web pour surveiller et intercepter tous les citoyens de l’UE, qu’ils résident ou non dans l’État émetteur ou y soient liés.
  • Il n’existe aucun contrôle indépendant ni contre-pouvoir concernant les décisions sur les clés que les États membres certifient et utilisent.
  • Ce texte interdit aux navigateurs d’appliquer des contrôles de sécurité à ces clés et certificats de l’UE, sauf ceux préapprouvés par l’ETSI, l’organisme européen de normalisation informatique.
  • L’ETSI a un historique préoccupant en matière de production de normes de chiffrement compromises et d’animation de groupes de travail consacrés au développement de technologies d’interception.
  • Plus de 300 experts et chercheurs en cybersécurité ont signé une lettre ouverte appelant l’UE à abandonner ce projet et à protéger le Web.
  • Des organisations de la société civile ainsi que des entreprises qui construisent et protègent Internet, dont Linux Foundation, Mullvad, DNS0.EU et Mozilla, ont également soutenu cette lettre.
  • Après approbation lors de la dernière réunion de trilogue à huis clos, prévue le 8 novembre à Bruxelles, ce texte devrait être publié puis soumis au Parlement européen pour ratification officielle.
  • Les citoyens européens peuvent écrire à Romana JERKOVIĆ, députée européenne chargée du dossier eIDAS, pour faire part de leurs préoccupations.
  • Les experts en cybersécurité, chercheurs ou ONG peuvent signer la lettre ouverte sur https://eidas-open-letter.org.

À lire aussi

1 commentaires

 
GN⁺ 2023-11-03
Avis Hacker News
  • Article sur les menaces potentielles pour la sécurité que pourrait entraîner la législation eIDAS de l’UE
  • Inquiétudes quant au fait que la loi pourrait autoriser l’émission de tout certificat pouvant être utilisé à des fins de surveillance
  • Certains commentateurs soutiennent que ce texte n’est pas une « loi secrète », puisque toute législation de l’UE doit être publiée sur les sites web dans ses langues officielles et ratifiée publiquement par le Parlement européen avant d’entrer en vigueur
  • Point de vue selon lequel la loi pourrait transférer le pouvoir des entités privées vers les gouvernements de l’UE afin de faciliter l’administration numérique
  • Questions sur l’impact pour les navigateurs open source, sur l’éventuelle obligation de l’implémenter, et sur le fait de savoir si les gouvernements auditeraient le code pour vérifier qui publie des versions dont les certificats gouvernementaux auraient été retirés
  • Certains commentateurs estiment que le système actuel de CA des navigateurs est fondamentalement défectueux et que, si des acteurs étatiques peuvent intercepter le trafic IP et générer des certificats malveillants, ils peuvent mener des attaques MITM
  • eIDAS inclut une tentative d’imposer la confiance, ce que certains considèrent comme une destruction du modèle global de confiance de l’Internet
  • La loi exige que les « certificats qualifiés pour l’authentification des sites web » soient reconnus par les navigateurs web et affichés d’une manière conviviale pour l’utilisateur
  • D’autres pays, comme l’Inde, préparent également des lois similaires afin que leurs OS et navigateurs disposent de leur propre CA
  • Certains commentateurs se disent favorables à cette loi si les certificats émis par cette CA sont liés à des services indépendants de Certificate Transparency (CT) et à certains domaines nationaux de premier niveau