La rédaction
Démocratie Participative
02 février 2024
Nous devions remettre le forum Europe Écologie Les Bruns en ligne vers l’été dernier, hélas les choses ont duré plus que prévu. De nombreux membres du forum, qu’ils y participaient activement ou se contentaient de le lire, nous sollicitent régulièrement à ce sujet.
Un nouveau problème est apparu à l’autonome. Un problème très sérieux.
En navigant sur Internet, il vous est sûrement arrivé de voir apparaître un message d’alerte du type : « Attention : risque probable de sécurité », car votre navigateur ne fait pas confiance au site visité. Dans ses interactions, le navigateur doit en effet vérifier l’authenticité du site, et pour cela il doit vérifier celle du certificat électronique présenté et s’appuyer sur l’expertise de l’autorité de certification qui a délivré et signé le certificat électronique. Dans le cas d’une autorité qui n’est pas enregistrée dans le magasin de certificats du navigateur ou qui est enregistrée mais qui n’est pas identifiée « de confiance », le certificat est considéré comme invalide et une alerte est émise.
Une autorité de certification a pour mission d’attester l’identité des sites, et plus largement l’identité de n’importe quelle entité. Elle est garante de cette dernière par l’émission d’un certificat électronique. Elle est donc décisionnaire de quelles entités sur Internet pourront être reconnues automatiquement de confiance par les navigateurs.
Une autorité peut en certifier une autre, ce qui crée naturellement une hiérarchie. Celle au sommet est appelée « autorité racine » ou « ancre de confiance » pour signifier son rôle indispensable dans l’organisation de la sécurité sur Internet.
Qui fait main basse sur une autorité de certification racine, le fait également sur la sécurité d’Internet, et a le pouvoir de décider si telle entreprise ou tel serveur est érigé du statut d’inconnu sur Internet au statut de pleinement reconnu et de confiance par des milliards de navigateurs. C’est dire le pouvoir associé. Pire, l’autorité peut créer outrageusement de faux certificats et se mettre à intercepter les flux de messagerie ou de réseaux sociaux d’une personnalité, à son insu.
Pas étonnant que plusieurs centaines de chercheurs et des entreprises du numérique s’insurgent quand l’article 45 du règlement en cours de révision eIDAS 2.0 sur « l’établissement d’un cadre européen relatif à une identité numérique », impose la reconnaissance directe des autorités de certification racines choisie par les États membres. En effet, cet article qui permet aux États membres d’imposer leurs propres autorités de certification racines, confère à ces États une énorme prise de pouvoir sur la sécurité des communications sur Internet. Cela ne ravit ni les citoyens européens qui craignent une surveillance accrue, ni les grosses sociétés américaines bien en place économiquement qui ne veulent surtout pas que les cartes soient rebattues.
Plus de 500 chercheurs et scientifiques issus de 42 pays différents (dont je fais partie) et de nombreuses organisations non gouvernementales ont signé en novembre 2023 une lettre ouverte à l’attention des membres du parlement européen et des États membres du conseil de l’Union européenne. Les entreprises américaines, dont Mozilla et CloudFlare, ne sont pas en reste avec une déclaration commune émise à l’attention des décideurs au sein des instances européennes.
Pour être intégrée dans un navigateur, une autorité de certification doit satisfaire les 4 programmes majeurs, celui de Microsoft, Apple, Google, et Mozilla, qui détiennent 94 % de parts de marché des navigateurs Web. Ces programmes sont hautement coordonnés entre eux.
Les autorités racines enregistrées dans les navigateurs sont plusieurs centaines aujourd’hui.
En faire partie est très convoité car pour les entreprises qui en assurent le fonctionnement, c’est comme disposer d’une licence pour imprimer de l’argent sauf qu’elles génèrent et commercialisent des certificats électroniques (le prix d’un certificat varie entre 8 et 1 000 dollars par an) et qu’elles sont incontournables pour toute organisation cliente qui souhaite que leur certificat électronique soit reconnu de confiance par les navigateurs.
Le marché de la certification électronique est concentré dans les mains d’une poignée d’acteurs, la plupart américains. À savoir, 6 autorités de certification se partagent 99,9 % des certificats Web de par le monde, parmi lesquelles 5 sont américaines (chiffres de janvier 2024).
Hormis l’aspect économique, disposer d’une autorité de certification racine est stratégique pour un État. Cela lui confère des moyens technologiques qui facilitent la mise sous surveillance de ses citoyens. En effet, il lui est possible de générer un faux certificat pour n’importe quel domaine, par exemple « google.com ». Il s’agit d’un « faux certificat » dans la mesure où le certificat n’est pas généré légalement pour le domaine en question. Ce certificat sera accepté sans broncher par le navigateur de la personne mise sous surveillance du fait que l’autorité émettrice du certificat fait partie de la liste des autorités de confiance dans le navigateur. C’est effectivement ce que permet l’article 45 polémique. Reste ensuite à l’État à placer en coupure sur le réseau, entre le navigateur et le service (par exemple, Google), un serveur-espion qui va relayer et déchiffrer les flux à la volée. Ni le navigateur, ni l’utilisateur ne pourront détecter cette interception et l’État pourra accéder à l’ensemble des communications de l’internaute, par exemple les mails qu’il envoie, les échanges privés qu’il a sur les réseaux sociaux…
Le numérique étant largement dominé en Europe par des acteurs américains, l’objectif de cet article 45 est donc pour l’Europe l’occasion de reprendre la main sur la sécurité dans Internet, pas moins que cela, et d’imposer son propre cadre dans la manière d’habiliter des autorités de certification racines.
Mozilla a lancé une polémique en 2021, où elle a pris position contre la réforme eIDAS et notamment l’article 45, affirmant que les certificats QWAC s’appuient sur une technologie obsolète et discréditée, qui affaiblit la sécurité du Web et qu’il ne faut donc surtout pas réintroduire.
Dans une Europe en tension, qui alterne entre des gouvernements modérés et extrêmes, les citoyens et en particulier les personnes ayant signé la lettre ouverte, craignent pour leurs libertés individuelles. Mettre à la main d’un État la capacité à générer des certificats reconnus valides par les navigateurs, est la porte ouverte vers des abus ciblant quelques personnalités pour des raisons politiques, ou vers une cybersurveillance massive. Le risque est bien là. Une fois le dispositif technologique en place, un gouvernement plus soucieux de ses intérêts propres que du respect des libertés individuelles des citoyens, pourra faire modifier la loi pour rendre l’exploitation du dispositif légal et servir sa cause. Ce qui était illégal le jour où le dispositif technologique a été mis en place, sous couvert de finalités tout à fait morales, peut le lendemain devenir légal avec des finalités pernicieuses.
Ce n’est pas tant aujourd’hui que des entreprises ou des États interceptent déjà nos communications, mais dans le cas de l’article 45, le problème, c’est que cette capacité d’interception peut être réalisée au plus proche de nous, avec des conséquences plus impactantes sur notre quotidien. Il ne s’agit plus de données collectées par des autorités étrangères à des fins par exemple de renseignement, mais ici, d’États membres qui administrent leurs citoyens et qui ont un potentiel de nuisance bien plus grand.
Pour faire court, les états-membres de l’UE voulant s’arroger la certification, ils pourront, une fois cette loi votée au parlement européen, espionner l’ensemble du trafic national sans jamais être détectés.
Pour en revenir à EELB, cela signifierait, en cas d’adoption, que les utilisateurs pourraient être espionnés en temps réel par le (((gouvernement français))).
Les juifs veulent absolument qu’un tel système soit mis en place pour pouvoir traquer n’importe quel internaute.
Nous sommes en attente, le vote étant prévu prochainement, mais surtout en recherche d’une alternative définitive.
Comme vous l’avez compris à la lecture de l’article ci-dessus, il n’y aura plus d’anonymat nulle part au sein de l’UE une fois ce texte adopté, VPN ou non. Il faut donc un nouveau système à l’épreuve de l’espionnage gouvernemental pour nos utilisateurs.
Seul Tor peut être la base d’un futur forum, ce qui suppose de créer une solution à partir de zéro. La programmation d’une telle solution ne serait pas gratuite, en plus d’être complexe techniquement. Je pense que, stratégiquement, lutter pour maintenir des espaces numériques que les juifs ne contrôlent pas est essentiel.
Nous vous tiendrons informés de la situation et du coût d’un tel projet.
Contre la censure
Utilisez Brave et Tor en suivant notre guide ici.
Ou utilisez un VPN.