En navigant sur Internet, il vous est sûrement arrivé de voir apparaître un message d’alerte du type : « Attention : risque probable de sécurité », car votre navigateur ne fait pas confiance au site visité. Dans ses interactions, le navigateur doit en effet vérifier l’authenticité du site, et pour cela il doit vérifier celle du certificat électronique présenté et s’appuyer sur l’expertise de l’autorité de certification qui a délivré et signé le certificat électronique. Dans le cas d’une autorité qui n’est pas enregistrée dans le magasin de certificats du navigateur ou qui est enregistrée mais qui n’est pas identifiée « de confiance », le certificat est considéré comme invalide et une alerte est émise.
Une autorité de certification a pour mission d’attester l’identité des sites, et plus largement l’identité de n’importe quelle entité. Elle est garante de cette dernière par l’émission d’un certificat électronique. Elle est donc décisionnaire de quelles entités sur Internet pourront être reconnues automatiquement de confiance par les navigateurs.
Une autorité peut en certifier une autre, ce qui crée naturellement une hiérarchie. Celle au sommet est appelée « autorité racine » ou « ancre de confiance » pour signifier son rôle indispensable dans l’organisation de la sécurité sur Internet.
Les très grands pouvoirs des autorités de certification
Qui fait main basse sur une autorité de certification racine, le fait également sur la sécurité d’Internet, et a le pouvoir de décider si telle entreprise ou tel serveur est érigé du statut d’inconnu sur Internet au statut de pleinement reconnu et de confiance par des milliards de navigateurs. C’est dire le pouvoir associé. Pire, l’autorité peut créer outrageusement de faux certificats et se mettre à intercepter les flux de messagerie ou de réseaux sociaux d’une personnalité, à son insu.
Pas étonnant que plusieurs centaines de chercheurs et des entreprises du numérique s’insurgent quand l’article 45 du règlement en cours de révision eIDAS 2.0 sur « l’établissement d’un cadre européen relatif à une identité numérique », impose la reconnaissance directe des autorités de certification racines choisie par les États membres. En effet, cet article qui permet aux États membres d’imposer leurs propres autorités de certification racines, confère à ces États une énorme prise de pouvoir sur la sécurité des communications sur Internet. Cela ne ravit ni les citoyens européens qui craignent une surveillance accrue, ni les grosses sociétés américaines bien en place économiquement qui ne veulent surtout pas que les cartes soient rebattues.
Plus de 500 chercheurs et scientifiques issus de 42 pays différents (dont je fais partie) et de nombreuses organisations non gouvernementales ont signé en novembre 2023 une lettre ouverte à l’attention des membres du parlement européen et des États membres du conseil de l’Union européenne. Les entreprises américaines, dont Mozilla et CloudFlare, ne sont pas en reste avec une déclaration commune émise à l’attention des décideurs au sein des instances européennes.
Des dérives vers plus de cybersurveillance ?
Pour être intégrée dans un navigateur, une autorité de certification doit satisfaire les 4 programmes majeurs, celui de Microsoft, Apple, Google, et Mozilla, qui détiennent 94 % de parts de marché des navigateurs Web. Ces programmes sont hautement coordonnés entre eux.
Les autorités racines enregistrées dans les navigateurs sont plusieurs centaines aujourd’hui.
En faire partie est très convoité car pour les entreprises qui en assurent le fonctionnement, c’est comme disposer d’une licence pour imprimer de l’argent sauf qu’elles génèrent et commercialisent des certificats électroniques (le prix d’un certificat varie entre 8 et 1 000 dollars par an) et qu’elles sont incontournables pour toute organisation cliente qui souhaite que leur certificat électronique soit reconnu de confiance par les navigateurs.
Le marché de la certification électronique est concentré dans les mains d’une poignée d’acteurs, la plupart américains. À savoir, 6 autorités de certification se partagent 99,9 % des certificats Web de par le monde, parmi lesquelles 5 sont américaines (chiffres de janvier 2024).
Hormis l’aspect économique, disposer d’une autorité de certification racine est stratégique pour un État. Cela lui confère des moyens technologiques qui facilitent la mise sous surveillance de ses citoyens. En effet, il lui est possible de générer un faux certificat pour n’importe quel domaine, par exemple « google.com ». Il s’agit d’un « faux certificat » dans la mesure où le certificat n’est pas généré légalement pour le domaine en question. Ce certificat sera accepté sans broncher par le navigateur de la personne mise sous surveillance du fait que l’autorité émettrice du certificat fait partie de la liste des autorités de confiance dans le navigateur. C’est effectivement ce que permet l’article 45 polémique. Reste ensuite à l’État à placer en coupure sur le réseau, entre le navigateur et le service (par exemple, Google), un serveur-espion qui va relayer et déchiffrer les flux à la volée. Ni le navigateur, ni l’utilisateur ne pourront détecter cette interception et l’État pourra accéder à l’ensemble des communications de l’internaute, par exemple les mails qu’il envoie, les échanges privés qu’il a sur les réseaux sociaux…
Un article controversé
L’objectif de cet article 45 est d’obliger les navigateurs web à reconnaître les certificats d’authentification de site web qualifiés (ou QWAC pour qualified website authentication certificate) pour authentifier les sites web. Ces certificats électroniques QWAC doivent remplir un cahier des charges strict fixé par la réglementation eIDAS et être émis par des prestataires de services de confiance qualifiés (ou QTSP pour qualified trust service provider) qui répondent eux aussi à un cahier des charges strict.
Les certificats QWAC font l’objet de vérifications beaucoup plus poussées que les autres certificats (certificats SSL) actuellement proposés par les autorités de certification, ce qui explique leurs coûts plus élevés. La société émettrice de ces certificats doit en particulier vérifier que le domaine du site Web est réellement contrôlé par l’entité juridique de l’entreprise qui fait la demande de certificats. Cette société qui est prestataire de services de confiance qualifiés doit faire l’objet d’audits réguliers pour se voir octroyer par un organe de contrôle (désigné par l’État membre concerné), le statut « qualifié » à la fois en tant que prestataire et pour les services qu’elle rend. Notons que la directive PSD2 (pour « Payment Services Directive ») a déjà imposé l’utilisation des certificats QWAC dans le secteur financier.
Le numérique étant largement dominé en Europe par des acteurs américains, l’objectif de cet article 45 est donc pour l’Europe l’occasion de reprendre la main sur la sécurité dans Internet, pas moins que cela, et d’imposer son propre cadre dans la manière d’habiliter des autorités de certification racines.
Mozilla a lancé une polémique en 2021, où elle a pris position contre la réforme eIDAS et notamment l’article 45, affirmant que les certificats QWAC s’appuient sur une technologie obsolète et discréditée, qui affaiblit la sécurité du Web et qu’il ne faut donc surtout pas réintroduire.
La technologie en question concerne les certificats EV (pour extended validation). Ce type de certificats SSL, comme vu précédemment, a pour particularité de faire l’objet de vérifications plus poussées que les certificats SSL ordinaires, avec neuf étapes supplémentaires de vérification, dont le numéro de téléphone public de l’entreprise et son numéro d’enregistrement. Jusqu’en 2019, les certificats EV étaient signalés auprès des utilisateurs de navigateurs par une barre verte dans laquelle se trouvait précisée la raison sociale du site visité. Ces indicateurs EV ont été supprimés en 2019, après que les principaux navigateurs aient convenu qu’ils encombraient l’interface utilisateur et ne semblaient pas avoir de réel impact sur les utilisateurs, lesquels ne vérifiaient pas ou ne remarquaient même pas l’indicateur, selon l’équipe de sécurité Chrome.
Si la question à l’époque portait sur la pertinence des certificats EV car à la fois coûteux et imperceptibles pour les internautes, dans le cas des QWAC, la démarche est différente. L’objectif est de renforcer la sécurité des transactions et il importe peu que les internautes en aient conscience. L’autre aspect critiqué contestable portait sur la procédure de vérification EV qui, malgré un renforcement de la sécurité, ne permettait pas d’avoir l’assurance de la légitimité à 100 % des certificats générés. Cette critique vaut en fait, pour l’ensemble des procédures de vérification, avec un risque moindre pour les certificats EV.
Des risques pour les libertés individuelles
Dans une Europe en tension, qui alterne entre des gouvernements modérés et extrêmes, les citoyens et en particulier les personnes ayant signé la lettre ouverte, craignent pour leurs libertés individuelles. Mettre à la main d’un État la capacité à générer des certificats reconnus valides par les navigateurs, est la porte ouverte vers des abus ciblant quelques personnalités pour des raisons politiques, ou vers une cybersurveillance massive. Le risque est bien là. Une fois le dispositif technologique en place, un gouvernement plus soucieux de ses intérêts propres que du respect des libertés individuelles des citoyens, pourra faire modifier la loi pour rendre l’exploitation du dispositif légal et servir sa cause. Ce qui était illégal le jour où le dispositif technologique a été mis en place, sous couvert de finalités tout à fait morales, peut le lendemain devenir légal avec des finalités pernicieuses.
Ce n’est pas tant aujourd’hui que des entreprises ou des États interceptent déjà nos communications, mais dans le cas de l’article 45, le problème, c’est que cette capacité d’interception peut être réalisée au plus proche de nous, avec des conséquences plus impactantes sur notre quotidien. Il ne s’agit plus de données collectées par des autorités étrangères à des fins par exemple de renseignement, mais ici, d’États membres qui administrent leurs citoyens et qui ont un potentiel de nuisance bien plus grand.
Cet article 45 si clivant soulève la question : vaut-il mieux une Europe qui gagne en souveraineté en devenant gestionnaire de ses propres autorités de certification racines, avec le risque d’opérations de surveillance facilitées sur ses citoyens ou bien une Europe qui continue d’être médiée par des acteurs du numérique économiquement puissants ?