🔴 French Days en direct 🔴 French Days en direct

Pourquoi chercheurs et scientifiques s'élèvent-ils contre l'article 45 du règlement européen eIDAS ?

Camille Coirault
04 novembre 2023 à 10h55
12
Un virage numérique très controversé © Shutterstock
Un virage numérique très controversé © Shutterstock

C'est une vraie levée de boucliers qui a lieu face au projet de réforme du règlement eIDAS (Electronic Identification, Authentification and Trust Services).

Plusieurs centaines d'experts en cryptographie et en informatique ont exprimé leurs inquiétudes en publiant une lettre ouverte à destination du Conseil de l'Europe. En effet, une révision de l'article 45 de l'eIDAS cristallise particulièrement leurs préoccupations, et celle-ci doit finalisée le 8 novembre pour ensuite recevoir le coup de tampon final du Parlement européen. Un projet, qui, vous le comprendrez, va complètement à l'encontre de la volonté affirmée de l'UE lorsqu'elle assure qu'elle ne surveillera pas ses citoyens en mettant en place l'euro numérique. En revanche, cette décision s'inscrirait parfaitement dans le contexte actuel, où l'UE souhaite voir plus de transparence dans le fonctionnement des promoteurs de services numériques, particulièrement les GAFAM. Alors quel est cet article 45 que l'Europe veut absolument retoucher ?

La confiance numérique remise en question

Cet article de l'eIDAS est relatif à la gestion des certificats de sécurité par les navigateurs. Pour le moment, les éditeurs de navigateurs sont libres dans le choix des émetteurs de ces certificats, en suivant leurs propres critères. C'est donc ce point particulier qui est ciblé par la révision de l'article 45. En effet, il est prévu que les éditeurs soient obligés de choisir parmi des émetteurs uniquement validés par des États membres de l'UE.

La lettre ouverte adressée au Conseil explique que « cela signifie que des États membres pourraient décider seuls d'imposer [une mesure permettant] de surveiller le trafic Internet de n'importe quel citoyen européen, sans parade possible ». Un tel changement viendrait complètement ébranler le fonctionnement des navigateurs actuels en plus d'être franchement questionnable d'un point de vue de la confidentialité.

Les citoyens européens, bientôt tous surveillés ? © Liza Summer / Pexels
Les citoyens européens, bientôt tous surveillés ? © Liza Summer / Pexels

Des précédents inquiétants

Ce qui inquiète également les autrices et auteurs de la lettre ouverte, c'est qu'un tel dispositif pourrait mettre entre les mains des États des quantités colossales de données. Un exemple assez récent illustre parfaitement quel type de débordement cela pourrait provoquer : celui de Qaznet, une autorité de certification officielle kazakhe. Celle-ci avait été prise en flagrant délit d'espionnage des internautes et avait donc été bloquée par Mozilla et Chrome.

Des organisations comme Cloudflare, la fondation Linux et la fondation Mozilla (qui s'était déjà dressée contre le projet de révision de l'article 45 en 2021) sont évidemment très concernées par ce changement. Elles ont coécrit un autre texte mentionnant que « le système actuel fonctionne (…) mais il est aussi délicat ». Ces institutions craignent un effet domino si la nouvelle révision est adoptée ; un scénario catastrophe où un mauvais choix entrepris par un seul État membre pourrait affecter tous les citoyens de l'UE.

Une procédure opaque et des recommandations ignorées

Un des chercheurs en cryptographie de l'Inria, (Institut national de la recherche en informatique) Gaëtan Leurent, admet pourtant que le Parlement européen avait fait en sorte d'intégrer les recommandations d'experts pour entamer ce processus d'amendement. Recommandations, qui n'ont plus l'air d'être d'actualité. Il déplore ainsi que « ces adoucissements ont malheureusement disparu du texte lors de la discussion  » entre le Parlement, la Commission et le Conseil de l'UE.

Sylvain Ledru est responsable de l'ingénierie chez Mozilla, et lui aussi est plutôt surpris de la tournure des événements. Il a pourtant évoqué « un vrai dialogue  » en 2021 lors d'une grande réunion entre éditeurs de navigateurs et députés européens à Bruxelles. Cependant, les conclusions du trilogue européen ne sont pas accessibles publiquement et les raisons de leurs choix resteront donc plongées dans l'opacité.

Chercheurs, scientifiques et ONG signataires de la lettre appellent à une révision de la nouvelle copie européenne. Selon eux, ce changement de l'article 45 pourrait avoir l'effet inverse : mettre en danger les internautes plutôt que de les protéger. Souveraineté numérique et libertés fondamentales : une équation toujours extrêmement délicate.

Source : Le Monde, eIDAS

Camille Coirault

Camille Coirault

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baud...

Lire d'autres articles

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baudelaire, Émile Zola, Choderlos de Laclos ou Victor Hugo pour ne citer qu’eux. Vingt ans après, quelques milliers d'heures à jouer, à lire, et me voilà ! Mon coeur balance toujours entre ma passion de la tech, des jeux vidéo et mon amour incommensurable pour les Lettres. Spoiler : je n’ai pas choisi et cela ne risque pas d’arriver de sitôt.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (12)

nicgrover
« UE is watching you »…
sylvebarbe78
Quant on vous dit que nous sommes dirigés par des bons à rien qui promulguent des réglementations totalement débiles à la hauteur de leur incompétence.
pecore
Si je comprend bien, il s’agit de transférer à un organisme supra-étatique une chose qui est pour l’instant contrôlée par des entreprises privées, extra-européennes en plus. Je ne dis pas que c’est bien mais en quoi le système actuel est mieux ?
Bombing_Basta
Un projet, qui, vous le comprendrez, va complètement à l’encontre de la volonté affirmée de l’UE lorsqu’elle assure qu’elle ne surveillera pas ses citoyens en mettant en place l’euro numérique.<br /> Alors j’ai beau lire l’article, non, je ne comprends pas.<br /> À part une charge contre l’euro numérique, qui soit dit en passant me semble une monnaie parfaitement inutile, je ne vois pas ce que ça vient faire dans cet article.<br /> L’euro numérique sera-t-il géré par les mêmes certificats via les navigateurs internet ? (Question rhétorique au cas où…)
Feunoir
Sur la source «&nbsp;Le monde&nbsp;» cela dit<br /> «&nbsp;Or la nouvelle mouture du règlement eIDAS demande, dans sa version en cours de finalisation, que les éditeurs de navigateurs considèrent obligatoirement comme « fiables » des autorités de certification qui seront choisies par les membres de l’Union européenne (UE).&nbsp;»<br /> La conséquence c’est que firefox et autres navigateurs seraient obligés de les garder fiables même s’ils savent qu’ils ne le sont plus, d’ou l’exemple kazakhe qui est donné car il a été écarté par les navigateurs une fois le souci connu avec lui
mdh.rd
Attention, il est mentionné dans l’article que la lettre est adressée au Conseil de l’Europe or elle est destinée au Parlement européen et au Conseil de l’UE. l’eIDAS est né d’un règlement de l’UE or le Conseil de l’Europe est une organisation totalement distincte !<br /> Les noms se ressemblent mais le Conseil de l’UE et le Conseil de l’Europe n’ont absolument rien à voir ! Le premier est une institution de l’UE et le second une organisation internationale indépendante.
arnaques_tutoriels_aide_informatique_tests
C aussi pour ca qu’ils veulent un dns europeens comme je me disais ya 1 an environ…on se fait boiffer;(
KlingonBrain
Hélas, il faut bien constater dans quel sens le système européen semble évoluer.<br /> Réglementation après réglementation, il semble se dessiner lentement mais sûrement une volonté de contrôle de l’individu.<br /> Pour ma part, je n’y vois pas de grand complot, juste une pente dangereuse que l’on suit car c’est la voie de la facilité. Mais cela peut aboutir a un système très toxique.<br /> Si on se fie aux livres d’histoire, je dirais que l’Europe se dirige vers un régime qui est de moins en moins démocratique, de plus en plus oligarchique. C’est malheureusement une première étape pouvant mener à un régime autocratique.
pecore
Je n’ai pas le détail de cette lettre ouverte mais je devine sans peine qu’elle condamne l’article 45, qu’elle averti des dérives possible et d’ailleurs, probablement avec raison.<br /> Mais je devine aussi qu’elle ne fait que cela et qu’elle ne propose pas de solution alternative. C’est une méthode très répandue, que de dire : «&nbsp;ça c’est pas bien, ça c’est pas bien…&nbsp;» mais quand on demande «&nbsp;Ok, mais on fait quoi alors ?&nbsp;», la réponse est toujours plus ou moins «&nbsp;Ah, ça c’est votre problème, débrouillez vous, trouvez&nbsp;».<br /> Si (mais seulement si) cette lettre est bien dans ce style là, alors ses signataires rejoignent le grand troupeau des inutiles, des velléitaires et des prétentieux, aux cotés d’innombrables hommes politiques, écrivains, essayistes, syndicalistes et autres éditorialistes. Car vraiment, on s’entendrait mieux réfléchir si tous ceux qui n’ont pas de solution altérative (sérieuse) à proposer à ce qu’ils considèrent comme un problème, étaient, comme disait Coluche : «&nbsp;autorisés à fermer leur gueule.&nbsp;»
KlingonBrain
Mais je devine aussi qu’elle ne fait que cela et qu’elle ne propose pas de solution alternative. C’est une méthode très répandue, que de dire : « ça c’est pas bien, ça c’est pas bien… » mais quand on demande « Ok, mais on fait quoi alors ? », la réponse est toujours plus ou moins « Ah, ça c’est votre problème, débrouillez vous, trouvez ».<br /> D’abord, qu’est ce qui prouve qu’il y aurait nécessité de faire quelque chose ?<br /> Les médecins ont un proverbe très intéressant qui peut s’appliquer à beaucoup de choses : «&nbsp;Primum non nocere&nbsp;». Autrement dit, d’abord ne pas nuire.<br /> Autrement dit, il vaut mieux s’abstenir que de proposer des solutions dangereuses.<br /> Aussi, il faut considérer qu’on ne parle pas de volontariat. Pour l’ensemble du système, le contribuable paye une armée de fonctionnaires qui représentent une ponction très lourde sur notre production de richesse. Et donc oui, c’est bien leur problème de gérer le système, a moins de considérer qu’on devrait faire leur boulot en plus de les payer <br /> Je vois beaucoup de gens parler comme si les services rendus par l’état ou le système étaient des faveurs et que le citoyen était un profiteur. Oubliant un peu vite la montagne d’argent que l’on nous prends au travers d’une pléthore d’impôts et de taxes visibles ou cachées.<br /> Quand on va chez son garagiste, ce n’est pas à nous de trouver la panne. Et si le boulot est mal fait, on a le droit de se plaindre et de demander à ce qu’il soit refait. Et cela pour la simple raison qu’on à payé pour ça.
pecore
KlingonBrain:<br /> Et donc oui, c’est bien leur problème de gérer le système, a moins de considérer qu’on devrait faire leur boulot en plus de les payer<br /> Mais là c’est bien ce qu’ils essayent de faire et ce sont des personnes non sollicitées qui viennent donner un avis défavorable sur cette action. Alors je le redis, lorsqu’on se permet de critiquer, de condamner ou d’avertir sans que cela vous ait été demandé, la moindre des choses c’est de dire ce qu’on ferait de différent, ou au moins, de fournir des pistes de réflexion.<br /> Prenons un exemple concret :<br /> Imaginons que dans ton travail, un collège vienne regarder ce que tu fais et te dise: «&nbsp;Ah, moi, je ne ferai pas comme ça à ta place&nbsp;». La réaction normale serait alors de lui demander comment, lui, il procéderait.<br /> Imagine alors que ce collègue te réponde juste: «&nbsp;Je ne sais pas, mais en tous cas je ne ferai pas comme ça&nbsp;».<br /> Je ne sais pas pour toi mais en ce qui me concerne, ce collègue entendrait parler du pays et perdrait vraisemblablement l’envie de remettre en cause mon travail pour au final ne rien suggérer d’utile.
Feunoir
La lettre est la deuxieme source de l’article :<br /> – Pemier point : Cela donne droit a un etat EU de faire un root certifcat, un truc qui bien utilisé permet de faire de l’interception, contourne le https pour voir tout ce qui transite sur la ligne<br /> "The owner of a root certificate can intercept users web traffic by replacing the website’s cryptographic keys with substitutes he controls. Such a substitution can occur even if the website has chosen to use a different certificate authority witha different root certificate. Any root certificate trusted by the browser can be used to compromise any website. "<br /> – Les etats EU peuvent donner ce droit à un autre etat pour que le certificat soit fait<br /> ("any EU member state or third party country, acting alone, is<br /> capable of intercepting the web traffic of any EU citizen and there is no effective recourse.)<br /> – Navigateurs obligés de le considérer comme fiable<br /> Il y a dans leurs 2 préoccupations par rapport a ce texte chaque fois un «&nbsp;we recommend:&nbsp;»<br /> Pour le cas d’ici c’est en fin de page 5, en gros «&nbsp;preciser le texte&nbsp;», «&nbsp;limiter cela a ce que le texte veut faire de base&nbsp;» («&nbsp;une identité numérique EU&nbsp;» sure si j’ai tout compris), et donc «&nbsp;écarter le déchiffrage du https, interceptions de paquets&nbsp;» du sujet<br /> Sur le deuxième point axé sur l’identité numérique c’est interessant aussi, si on ne suit pas leur recommandation :<br /> «&nbsp;Without these necessary amendments the eIDAS regulation risks becoming a gift to Google and other Big Tech actors. A European solution to the central question of handling sensitive identity information needs to protect citizens against surveillance capitalism through strong technical mechanisms and be resilient against attempts to exploit the regulatory system through jurisdiction-shopping&nbsp;»
KlingonBrain
Mais là c’est bien ce qu’ils essayent de faire et ce sont des personnes non sollicitées qui viennent donner un avis défavorable sur cette action. Alors je le redis, lorsqu’on se permet de critiquer, de condamner ou d’avertir sans que cela vous ait été demandé, la moindre des choses c’est de dire ce qu’on ferait de différent, ou au moins, de fournir des pistes de réflexion.<br /> Imaginons que dans ton travail, un collège vienne regarder ce que tu fais et te dise: « Ah, moi, je ne ferai pas comme ça à ta place ». La réaction normale serait alors de lui demander comment, lui, il procéderait.<br /> Je comprends bien votre point de vue, mais je ne suis pas d’accord.<br /> Je trouve qu’au contraire, il y a de gros avantages à ne pas lier les deux étapes.<br /> Parce que justement, pour motiver l’engagement d’une recherche de nouvelles solutions, il est d’abord nécessaire d’aboutir au consensus d’inadéquation de celles que l’on envisage.<br /> Ce que vous mentionnez, ce sont les biais du travail salarié en entreprise ou l’on peut être tenté de privilégier les bonnes relations avec ses collègues au détriment de l’intérêt de l’entreprise. Ce qui aboutit fréquemment à de mauvaises décisions. C’est un cas d’école bien connu en management.<br /> En outre, nous ne sommes pas du tout dans ce cadre la. Pour rappel, nous vivons en démocratie. Et en démocratie, il est positif (et souhaitable) que les citoyens donnent leur avis.<br /> Et si on veut se demander quelle légitimité à le citoyen pour critiquer ses dirigeants, il suffit de se rappeler que leurs décisions, nous les subissons.
pecore
KlingonBrain:<br /> Pour rappel, nous vivons en démocratie. Et en démocratie, il est positif (et souhaitable) que les citoyens donnent leur avis.<br /> Comme je l’ai dis, et redis, je suis BIEN d’accord qu’on ait le droit de donner son avis.<br /> Je voudrai juste que cet avis s’accompagne de suggestions et ne soit pas juste de la critique, parce que ça, tout le monde peut le faire et de fait, tout le monde le fait.<br /> Et du coup, personne n’écoute.
KlingonBrain
« Without these necessary amendments the eIDAS regulation risks becoming a gift to Google and other Big Tech actors. A European solution to the central question of handling sensitive identity information needs to protect citizens against surveillance capitalism through strong technical mechanisms and be resilient against attempts to exploit the regulatory system through jurisdiction-shopping »<br /> Alors oui, bien sûr, on a raison de se méfier des vilaines et méchantes entreprises dont il n’est plus à démontrer ce qu’elles (mé)font de notre vie privée.<br /> Mais il serait bon de se rappeler a la lumière des livres d’histoire que les états représentent une menace potentielle autrement plus grande que les entreprises. Et cela parce que le pouvoir de ces entités est plus important, donc les potentielles dérives aussi.<br /> Il ne faut pas commettre l’erreur de croire que parce que le système étatique est bon et démocratique ici et maintenant qu’il le sera toujours demain et partout. Il faut toujours avoir à l’esprit que même dans le plus démocratique des états, un fou peut arriver à se hisser au pouvoir un jour.<br /> Donc si c’est pour proposer une solution qui peut être pire que le mal, peut être vaut t’il mieux s’abstenir pour le moment et de continuer de chercher.
KlingonBrain
Comme je l’ai dis, et redis, je suis BIEN d’accord qu’on ait le droit de donner son avis.<br /> Je voudrai juste que cet avis s’accompagne de suggestions et ne soit pas juste de la critique, parce que ça, tout le monde peu le faire et de fait, tout le monde le fait.<br /> Et du coup, personne n’écoute.<br /> Alors oui, ce que vous dites est tout à fait compréhensible dans le quotidien d’une entreprise ou l’on veut avant tout que les gens fassent avancer les choses pour la bonne rentabilité de la boite. Et pour cela qu’ils contribuent tous à rechercher des solutions à tous les petits problèmes quotidiens.<br /> Mais il faut prendre conscience que lorsque on est devant des problèmes d’un ordre de complexité plus élevé et d’une grande importance stratégique, ça ne peut pas toujours se passer comme ça.<br /> Il arrive que la meilleure solutions a un problème important ne puisse apparaître qu’au bout d’un très long chemin. Et qu’elle ne soit accessible qu’au prix d’un bon usage de l’intelligence collective, qui dépasse de loin les capacités individuelles.<br /> Une méthode classique pour y arriver, c’est dans une équipe d’alterner les phases de recherche de solution avec des phases d’analyse de ce qu’on a trouvé : critiques, avantages et inconvénients de chacune, etc…<br /> Et de continuer d’itérer jusqu’à ce que l’on ressente un consensus dans une direction.<br /> Dans ce cadre, on peut comprendre pourquoi une critique, même si elle se limite au négatif peut être néanmoins très précieuse si elle soulève un vrai problème. Le tout est de savoir l’intégrer de manière constructive au processus de réflexion.
Feunoir
Pour le coup c’est bien ce qu’ils font du moins d’après ce que j’en comprends.<br /> Dans le cadre d’une création d’identité numérique EU ils «&nbsp;recommandent&nbsp;» dans cette lettre de<br /> – preciser le texte pour se limiter à une certification d’un niveau pas aussi exagérée qu’ici (suffisant pour de l’identité et pas pouvoir déchiffrer toutes les communications)<br /> – que les créations de certificats soit + sous contrôle, c’est a dire via des gardes fous indépendants choisis par nos états de l’EU et qui sécuriseraient le truc et permettraient de dire aux éditeurs de navigateurs de retirer ces certificats «&nbsp;fiables&nbsp;» si en fait il y a doute, car là ils n’ont plus leur mot a dire et vraiment personne vérifierait que le pays truc qui tourne mal fait pas des certificats qui craignent, et on parle surement ici des 27 mais aussi des pays «&nbsp;sous traitants&nbsp;» qu’ils peuvent choisir)<br /> Avec une création de certificat obligatoirement classé «&nbsp;fiable&nbsp;» c’est comme laisser ses clés sur toutes ses portes/voitures en espérant que cela se passe bien tout le temps.
pecore
Feunoir:<br /> Pour le coup c’est bien ce qu’ils font du moins d’après ce que j’en comprends.<br /> Dans ce cas, tant mieux et bravo à eux, c’est assez rare pour être salué.<br /> Je suis curieux de voir ce que l’U.E va répondre, sachant que le besoin de reprendre la main sur le numérique et ses très nombreuses dérives est aussi une question essentielle dont l’U.E semble avoir fait son cheval de bataille.<br /> J’espère qu’ils saurons mettre à profit les suggestions présentées par la lettre pour les intégrer à leur projet.
Voir tous les messages sur le forum
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Pourquoi chercheurs et scientifiques s'élèvent-ils contre l'article 45 du règlement européen eIDAS ? Pourquoi chercheurs et scientifiques s'élèvent-ils contre l'article 45 du règlement européen eIDAS ?