La grande image: Le Conseil de l’Union européenne prépare un nouvel ensemble de règles pour sécuriser les communications électroniques et l’identification. eIDAS 2.0 revient cependant en arrière, adoptant un modèle de sécurité qui a été longtemps abandonné par les navigateurs et les plateformes Internet modernes.
eIDAS, ou « services d’identification, d’authentification et de confiance électroniques », est l’ensemble de règles adoptées en Europe pour permettre des transactions en ligne sécurisées sur le marché unique européen. Chaque État membre doit adopter les règles eIDAS, et il en va de même pour les organisations et les entreprises qui souhaitent y fournir des services numériques publics.
Le Conseil européen – l’un des deux organes législatifs de l’UE – a récemment adopté une nouvelle révision d’eIDAS, concernant principalement un portefeuille d’identité numérique européen pour stocker des informations personnelles sur les citoyens européens dans une application publiée par le gouvernement. eIDAS 2.0 contient également des règles révisées pour les certificats numériques, un nouveau modèle qui, selon les activistes numériques et les organisations à but non lucratif, est un pas de géant en arrière pour la sécurité Internet moderne.
Selon l’Electronic Frontier Foundation (EFF), l’essentiel du problème se trouve dans l’article 45.2 des nouvelles règles eIDAS : l’Union européenne propose maintenant que les navigateurs Web et autres entreprises Internet doivent prendre en charge les « certificats d’authentification Web qualifiés » ou QWAC, délivrés par des prestataires de services de confiance qualifiés (QTSP) désignés.
Si l’article 45.2 est approuvé, les États membres européens pourraient essentiellement agir en tant qu’autorités de certification (AC) dotées de super pouvoirs : un certificat QWAC délivré de cette manière doit être approuvé par les navigateurs Web quoi qu’il arrive, car les fournisseurs de QTSP sont approuvés par la réglementation de l’UE et non par le navigateur. -entreprise de fabrication. Même si les certificats étaient compromis, les navigateurs seraient obligés de leur faire confiance de toute façon.
L’UE propose essentiellement un retour à l’ancien modèle de certificats à validation étendue (EV), EFF a fait remarquer, un système de sécurité qui ne fonctionnait pas très bien et qui a été longtemps abandonné pour le système actuel basé sur le cryptage HTTPS avec des certificats de validation de domaine (DV). Les navigateurs peuvent choisir l’autorité de certification à laquelle ils peuvent faire confiance, afin de pouvoir les supprimer rapidement en cas de problème.
L’article 45.2 des nouvelles règles eIDAS applique un modèle obsolète dans le but de retirer le pouvoir aux Big Tech et de le redonner aux individus sur le Web par le biais de la réglementation, a déclaré l’EFF. Dans l’état actuel des choses, a fait remarquer l’organisation à but non lucratif, l’article 45.2 rend la sécurité Web « plus difficile à réaliser et à appliquer, faisant d’Internet un endroit moins sûr pour tout le monde ».