Pour gérer vos consentements :

Règlement eIDAS : pourquoi Mozilla et consorts grincent des dents

Le règlement eIDAS force les navigateurs à accepter des certificats qui contournent les standards de sécurité et exposent les utilisateurs à des attaques. L’EFF (Electronic Frontier Foundation) a fait passer, la semaine dernière, un message de cette teneur. En parallèle, elle a cosigné, avec une trentaine de chercheurs, une lettre ouverte aux députés européens.

La démarche s’inscrit dans un combat amorcé voilà des années. En ligne de mire, la révision dudit règlement. Et plus particulièrement un de ses aspects : les QWAC (Qualified Website Authentication Certificates). L’eIDAS lui-même avait introduit ce type de certificats. Sa version révisée imposerait l’intégration de certains d’entre eux dans les magasins de certificats racine des navigateurs.

Dans l’absolu, les éditeurs concernés ne s’opposent pas à implémenter les QWAC. Mais pas sous leur forme actuelle, ni celles que l’UE envisage. Les appels répétés de Mozilla en témoignent. Deux craintes en ressortent. Elles touchent à la sécurité et à la vie privée.

En l’état, dans les navigateurs, l’authentification des sites web est dissociée de l’identification de leur propriétaire. Elle s’appuie sur des certificats TLS (Transport Layer Security), qui permettent d’assurer à l’utilisateur que le trafic (connexion à un site) est sécurisé. Chaque éditeur a la main sur le processus de validation des autorités qui émettent ces certificats.

Tel que proposée, la révision du règlement eIDAS entraînerait soit la fusion de l’authentification du site et de l’identification du propriétaire, soit une liaison cryptographique des certificats TLS et QWAC. La validation des autorités émettrices n’échoirait plus aux éditeurs, mais à des autorités nationales compétentes.

Les QWAC, incompatibles eIDAS ?

Mozilla et consorts considèrent que la liaison des certificats viole plusieurs provisions du règlement eIDAS. Entre autres sur l’interopérabilité et la neutralité technologique. Et qu’elle pose un risque autant pour la vie privée des utilisateurs finaux que pour la sécurité du web dans son ensemble. Avec, sur ce dernier point, le spectre de « listes blanches gouvernementales ». Les conditions de validation des autorités certificatrices manqueraient en tout cas pour le moment de transparence. Les obligations en matière de fréquence des audits seraient par ailleurs moins contraignantes : tous les 24 mois, alors que les éditeurs sont plutôt sur un rythme annuel.

Mozilla et al. dénoncent aussi un non-sens technique. Leur constat : TLS et QWAC n’émanent pas des mêmes organismes et supposent des règles différentes. Surtout, ce qui leur est rattaché (nom de domaine pour le premier, identité juridique pour le second) n’évolue pas au même rythme. Dans l’éventualité d’une fusion ou d’une liaison cryptographique, tout changement sur l’un ou l’autre paramètre se répercuterait sur l’ensemble.

Le thread suivant remonte à juin 2021, mais donne encore une bonne idée de la situation.

Illustration principale © Maksim Kabakou – Shutterstock

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

4 heures ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

4 heures ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

7 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

10 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

11 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

1 jour ago