Règlement eIDAS : pourquoi Mozilla et consorts grincent des dents

La position dans laquelle la révision du règlement eIDAS mettrait les éditeurs de navigateurs web fait débat. Pour quelles raisons ?

Le règlement eIDAS force les navigateurs à accepter des certificats qui contournent les standards de sécurité et exposent les utilisateurs à des attaques. L’EFF (Electronic Frontier Foundation) a fait passer, la semaine dernière, un message de cette teneur. En parallèle, elle a cosigné, avec une trentaine de chercheurs, une lettre ouverte aux députés européens.

La démarche s’inscrit dans un combat amorcé voilà des années. En ligne de mire, la révision dudit règlement. Et plus particulièrement un de ses aspects : les QWAC (Qualified Website Authentication Certificates). L’eIDAS lui-même avait introduit ce type de certificats. Sa version révisée imposerait l’intégration de certains d’entre eux dans les magasins de certificats racine des navigateurs.

Dans l’absolu, les éditeurs concernés ne s’opposent pas à implémenter les QWAC. Mais pas sous leur forme actuelle, ni celles que l’UE envisage. Les appels répétés de Mozilla en témoignent. Deux craintes en ressortent. Elles touchent à la sécurité et à la vie privée.

En l’état, dans les navigateurs, l’authentification des sites web est dissociée de l’identification de leur propriétaire. Elle s’appuie sur des certificats TLS (Transport Layer Security), qui permettent d’assurer à l’utilisateur que le trafic (connexion à un site) est sécurisé. Chaque éditeur a la main sur le processus de validation des autorités qui émettent ces certificats.

Tel que proposée, la révision du règlement eIDAS entraînerait soit la fusion de l’authentification du site et de l’identification du propriétaire, soit une liaison cryptographique des certificats TLS et QWAC. La validation des autorités émettrices n’échoirait plus aux éditeurs, mais à des autorités nationales compétentes.

eIDAS ntQWAC Commission européenne

Les QWAC, incompatibles eIDAS ?

Mozilla et consorts considèrent que la liaison des certificats viole plusieurs provisions du règlement eIDAS. Entre autres sur l’interopérabilité et la neutralité technologique. Et qu’elle pose un risque autant pour la vie privée des utilisateurs finaux que pour la sécurité du web dans son ensemble. Avec, sur ce dernier point, le spectre de « listes blanches gouvernementales ». Les conditions de validation des autorités certificatrices manqueraient en tout cas pour le moment de transparence. Les obligations en matière de fréquence des audits seraient par ailleurs moins contraignantes : tous les 24 mois, alors que les éditeurs sont plutôt sur un rythme annuel.

Mozilla et al. dénoncent aussi un non-sens technique. Leur constat : TLS et QWAC n’émanent pas des mêmes organismes et supposent des règles différentes. Surtout, ce qui leur est rattaché (nom de domaine pour le premier, identité juridique pour le second) n’évolue pas au même rythme. Dans l’éventualité d’une fusion ou d’une liaison cryptographique, tout changement sur l’un ou l’autre paramètre se répercuterait sur l’ensemble.

Le thread suivant remonte à juin 2021, mais donne encore une bonne idée de la situation.

Illustration principale © Maksim Kabakou - Shutterstock