Aller au contenu

electronic identification and trust services

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis EIDAS)
Marquage qualifiant eIDAS

electronic Identification, Authentication and Trust Services (eIDAS ; litt. « Services électroniques d'identification, d'authentification et de confiance ») est un règlement de l'Union européenne sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union européenne.

C'est un ensemble de normes pour l'identification électronique et les services de confiance pour les transactions électroniques dans l'Union européenne. Il a été établi dans le règlement de l'UE no 910/2014 du sur l'identification électronique et abroge la directive 1999/93/CE[1],[2].

Description

[modifier | modifier le code]

eIDAS supervise l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union européenne. Il régule la signature électronique, les transactions électroniques, pour fournir un moyen sûr aux transactions en ligne comme le transfert électronique de fonds ou les transactions avec les services publics. À la fois, le signataire et le destinataire ont accès à un niveau supérieur de confort et de sécurité. Au lieu de s'appuyer sur des méthodes traditionnelles, telles que le courrier, la télécopie (fax), ou de délivrer en personne des documents sur papier, ils peuvent désormais effectuer des transactions à distance – y compris à travers les frontières internationales[3].

Projet d'introduction de portes dérobées en 2023 (Art.45)

[modifier | modifier le code]

En 2021[4], un amendement à l'eIDAS est proposé, prévoyant d'autoriser n'importe quel gouvernement de l'Union européenne de mener des opérations de surveillance de toute communication Internet, même chiffrée[5],[6]. Le projet élaboré en trilogue à huis clos entre des négociateurs du Parlement, de la Commission et du Conseil européen[réf. nécessaire] utilise le même mécanisme que l'⁣⁣interposition⁣, comme celle de la tentative de surveillance de masse au Kazakhstan de 2019.

Le projet imposerait aux éditeurs de logiciels d'introduire une porte dérobée dans leurs navigateurs web afin de les laisser accepter un intrus, abusant ainsi les utilisateurs dans la confiance qu'ils accordent à l'actuelle notification de confiance dans le site web visité généralement manifestée par une icône de cadenas, alors qu'ils seraient réellement en relation avec un serveur miroir supervisé par le gouvernement. Celui-ci pourrait alors lire et modifier les messages avant de les transférer aux destinataires légitimes[7].

En cas d'adoption, les gouvernements de l'Union européenne seraient en mesure d'intercepter les communications des logiciels implémentant cette porte dérobée, permettant une lecture ou modification de ces communications sans que l'utilisateur final n'en ait connaissance[8],[9]. Ceci est particulièrement inquiétant pour les pays dont l'État de droit est défaillant, dans lesquels l'état et ses supplétifs pourraient ainsi utiliser la loi pour espionner leurs propres citoyens à des fins de répression politique et d'intérêt personnel. Un danger supplémentaire est permis de la part d'acteurs privés sous contrat d'état qui accéderaient ainsi à la puissance de la surveillance de masse pour tout mésusage au gré de leurs propres desseins[10],[11].

Techniquement, c'est l'article 45 du projet qui pose un problème, en imposant aux éditeurs d'intégrer de nouveaux tiers de confiance (CA - autorités de certification) et en leur interdisant de les enlever à l'occasion d'une mise à jour comme c'est actuellement le cas lorsque la communauté de supervision, le CA/Browser Forum[12] reconnait, détecte et statue sur la défaillance d'une CA à respecter sa charte de fonctionnement dans la génération de nouveaux certificats (ainsi donc qu'aux utilisateurs de retirer manuellement leur confiance à ces CA) comme ce fut le cas pour l'Agence nationale de la sécurité des systèmes d'information (ANSII) en 2013, entre autres[13]. En cas de refus d'obtempérer, les navigateurs concernés seraient bannis de diffusion dans l'Union européenne.

Dans une lettre ouverte adressée aux membres du Parlement et aux États membres du conseil[5], un grand nombre de scientifiques et ONG, en leur nom propre ou celui d'entité qui participent activement à la construction de l'Internet et à sa sécurisation depuis plus de 30 ans pour certains d'entre eux, mettent en garde contre les dangers induits par cet article 45 de déstabiliser le fonctionnement actuel éprouvé (bien que fragile) et de saper la confiance des utilisateurs.

Références

[modifier | modifier le code]
  1. Dawn Turner, « Understanding eIDAS », Cryptomathic (consulté le )
  2. « Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC », sur EUR-Lex, The European Parliament and the Council of the European Union (consulté le ).
  3. Jacques van Zijp, « Is the EU ready for eIDAS? », Secure Identity Alliance (consulté le ).
  4. European Commission, « Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity »(Archive.orgWikiwixArchive.isGoogleQue faire ?),
  5. a et b https://nce.mpi-sp.org/index.php/s/cG88cptFdaDNyRr
  6. https://blog.mozilla.org/netpolicy/files/2023/11/eIDAS-Industry-Letter.pdf
  7. (en) « EU's Digital Identity Framework Endangers Browser Security », sur Electronic Frontier Foundation, (consulté le ).
  8. (en) « EIDAS Letter 2022 », sur Electronic Frontier Foundation, (consulté le ).
  9. https://mullvad.net/en/blog/2023/11/2/eu-digital-identity-framework-eidas-another-kind-of-chat-control/
  10. « Last Chance for eIDAS », sur last-chance-for-eidas.org (consulté le ).
  11. https://www.internetsociety.org/resources/doc/2023/qualified-web-authentication-certificates-qwacs-in-eidas/
  12. (en) « CAB Forum », sur CAB Forum (consulté le ).
  13. « Revoking Trust in one ANSSI Certificate », sur Mozilla Security Blog, .

Liens externes

[modifier | modifier le code]