Quand on tape une adresse dans un navigateur, deux opérations se déclenchent avant que la page s'affiche. La première traduit le nom du site en adresse numérique compréhensible pour les machines : c'est le DNS. La seconde vérifie que le site en face est bien celui qu'il prétend être : c'est le rôle du certificat SSL, symbolisé par le cadenas dans la barre d'adresse. Ces deux mécanismes fonctionnent à chaque connexion, et en permanence. Et dans les deux cas, les clés sont américaines.
On parle de cloud souverain, d'hébergeurs certifiés, de distributions Linux pour les ministères. Mais en dessous de tout ça, deux couches d'infrastructure fondamentales continuent d'échapper au contrôle européen, sans que personne ne le dise vraiment.
Le DNS, l'annuaire d'Internet gouverné depuis Los Angeles
Quand vous tapez "clubic.com" dans votre navigateur, votre ordinateur ne comprend pas cette adresse. Il a besoin d'un équivalent numérique : une suite de chiffres appelée adresse IP, du type "185.24.196.10". Le DNS (Domain Name System) est le système qui assure cette conversion. Il fonctionne comme un annuaire téléphonique mondial, mis à jour en permanence, et que l'on peut interroger en une fraction de seconde. C'est lui qui, pour chaque connexion que vous établissez, vous oriente vers le bon serveur, dans le bon pays, hébergeant le bon contenu.
Ce système est organisé en hiérarchie. Au sommet se trouvent 13 adresses de "serveurs racine", désignés de A à M. Ces serveurs font autorité sur l'ensemble des noms de domaine dans le monde, qu'il s'agisse des extensions nationales comme .fr, .de ou .it, ou des extensions génériques comme .com et .org. Ils sont gérés par 12 organisations distinctes. La majorité sont américaines. VeriSign, l'une d'elles, opère deux serveurs racine (A et J) et gère par ailleurs l'intégralité du registre .com. Deux organisations européennes figurent dans cette liste : le RIPE NCC, basé à Amsterdam, qui opère le serveur K, et Netnod, organisation suédoise, pour la gestion du serveur I. Deux sur douze.
En gérant le registre .com, Verisign ne se contente pas de tenir simplement une liste. L'entreprise maintient, pour chaque domaine en .com, l'enregistrement qui indique où se trouve le site. Concrètement, une entreprise française dont le site est en .com dépend de VeriSign pour que son domaine soit résolvable. En théorie, VeriSign pourrait modifier cet enregistrement, rediriger le domaine vers un autre serveur, ou le rendre inaccessible. En 2022, après l'invasion de l'Ukraine, le gouvernement ukrainien a d'ailleurs demandé à l'ICANN de révoquer les domaines russes (.ru, .рф) et de couper leurs serveurs DNS racine. L'ICANN a refusé (PDF), en invoquant son statut d'organisation neutre. Mais du point de vue technique, l'ICANN et ses partenaires en sont parfaitement capables.
C'est précisément là que la gouvernance de l'ICANN devient un sujet politique. Fondée en 1998 à Los Angeles, initialement sous contrat direct avec le département du Commerce américain, l'organisation a officiellement rompu ce lien en 2016, au profit d'un modèle dit "multipartite" impliquant gouvernements, entreprises et société civile du monde entier. Toutefois, le siège reste en Californie. Le droit applicable est américain. Et l'Union européenne n'y dispose d'aucun droit de veto sur les décisions critiques - ni sur les extensions attribuées, ni sur les enregistrements modifiés, ni sur les opérateurs autorisés à tenir un registre.
Votre cadenas HTTPS repose sur une association californienne financée par les Big Tech
Il y a aussi la question des certificats SSL. Le cadenas affiché dans votre barre d'adresse quand vous visitez un site en HTTPS indique deux choses. D'une part, la connexion est chiffrée, autrement dit, les données échangées ne peuvent pas être lues si elles sont interceptées en chemin. Et d'autre part, le site a été "authentifié" par un tiers de confiance, plus précisément, par une autorité de certification (CA). Cette dernière signe numériquement le certificat du site pour attester de son identité. Les navigateurs maintiennent chacun une liste de CA auxquelles ils font confiance. Si un site présente un certificat signé par une CA absente de cette liste, le navigateur affiche immédiatement un avertissement de sécurité. L'internaute est invité à rebrousser chemin.
Let's Encrypt occupe aujourd'hui une position dominante dans la délivrance de certificats SSL. Ce service est gratuit, entièrement automatisé, et les certificats qu'il émet sont renouvelables tous les 90 jours sans intervention humaine. Des centaines de millions de sites web en dépendent, dont une part importante des infrastructures publiques et privées européennes. Or, Let's Encrypt est opéré par l'Internet Security Research Group (ISRG), une organisation à but non lucratif dont le siège est à San Francisco. Ses principaux financeurs sont Google, Mozilla, Cisco, Amazon et Meta. Que se passerait-il si Let's Encrypt était retiré de la liste de confiance des navigateurs, ou si l'ISRG cessait d'exister ? Des centaines de millions de sites web afficheraient des avertissements de sécurité. Pas parce que leur contenu aurait changé, mais parce qu'un acteur américain aurait disparu ou changé de statut.
Des autorités de certification européennes existent. Sectigo (d'origine britannique), GlobalSign (belge, rachetée depuis par un fonds japonais) ou encore HARICA (liée aux universités grecques) font partie du paysage. L'ANSSI gère la PKI de l'État français, une infrastructure d'authentification interne pour les agents et les échanges entre administrations. Mais aucune de ces structures n'est intégrée par défaut dans les navigateurs grand public. Les sites gouvernementaux visibles du public (impots.gouv.fr, service-public.fr) utilisent eux-mêmes des certificats délivrés par des CA commerciales américaines comme DigiCert ou Let's Encrypt.
Les Big Tech ont leur mot à dire
Entre 2019 et 2020, le gouvernement kazakh a tenté d'imposer à ses citoyens l'installation d'un certificat racine national. Baptisé Qaznet Trust Network, ce dernier devait expirer en 2046. Concrètement, cela aurait permis aux autorités de déchiffrer le trafic HTTPS en transit, y compris les connexions censées être sécurisées de bout en bout.
Mozilla, Google, Apple et Microsoft ont refusé d'intégrer ce certificat dans leurs navigateurs. La tentative a échoué. Mais uniquement parce que quatre acteurs privés américains ont dit non. Au final, ce sont eux qui décident de ce qui est "de confiance" sur le web. Pas les États. Pas les institutions européennes.
Chez nous, le règlement eIDAS 2.0 contenait une disposition qui a suscité une opposition directe de Mozilla, Google et Apple. Le texte prévoyait que les États membres puissent désigner des autorités de certification "qualifiées", dont les certificats devraient être intégrés d'office dans les navigateurs. Les trois éditeurs ont refusé, en expliquant que cette disposition reproduirait exactement ce qu'avait tenté le Kazakhstan. Là encore, ils estimaient que cela aurait pu permettre à un gouvernement européen de déchiffrer le trafic HTTPS via sa propre CA. La version finale d'eIDAS 2.0 a évolué pour encadrer cette possibilité.
On soulignera quand même l'hypocrisie des éditeurs de navigateurs faisant pleinement confiance à des dizaines de CA commerciales américaines toutes soumises au droit des États-Unis, et donc théoriquement exposées à des injonctions d'un gouvernement américain et techniquement capables de manipuler les noms de domaine.
L'Europe reste en retrait
Mais l'Union européenne n'est pas restée inactive. DNS4EU est un résolveur DNS public européen, lancé en 2023 dans le cadre de la politique de cybersécurité de l'Union. DNS4EU propose une alternative aux résolveurs publics de Google (8.8.8.8) ou de Cloudflare (1.1.1.1), deux services massivement utilisés en Europe qui centralisent des volumes importants de données sur les habitudes de navigation des utilisateurs.
Cependant, il y a une vraie distinction à faire entre un résolveur et un serveur racine. Le résolveur, c'est l'intermédiaire qui, depuis votre box internet, transmet vos requêtes DNS vers les serveurs racine. Disons que c'est le facteur. Les serveurs racine, eux, sont l'administration centrale qui tient l'annuaire. Et ce sont eux qui ont le dernier mot sur l'adresse d'un domaine. Adopter DNS4EU, c'est changer de facteur. L'administration centrale, elle, reste entre les mains de l'ICANN et de ses opérateurs, dont VeriSign pour les domaines .com.
Les PKI gouvernementales nationales, comme celle de l'ANSSI, restent de leur côté cantonnées aux usages internes de l'État. Chrome et Safari ne les connaissent pas.
Un choix politique que personne n'assume vraiment
Il y a une raison pour laquelle l'Europe n'a jamais créé ses propres serveurs racine DNS ni imposé ses propres CA dans les navigateurs grand public. Ce n'est pas une question de moyens, ni d'expertise. Fragmenter le DNS mondial ou créer des zones de confiance séparées reviendrait à reproduire ce que fait la Chine avec son "Great Firewall", ou la Russie avec son réseau domestique pouvant partiellement être déconnecté. L'Europe ne veut pas ça. Et ce refus repose sur des principes qui, finalement, se défendent : un Internet universel, ouvert, et non fragmenté.
Reste que dans la configuration actuelle, cette position affaiblit d'emblée l'Europe. Nous rapportions en fin de mois dernier que l'infrastructure physique sous-marine est déjà largement contrôlée par des acteurs américains. Le DNS et les certificats SSL ajoutent donc deux autres formes de dépendances.
