L’UE veut espionner l’utilisation de l’internet par les Européens
L’UE veut espionner l’utilisation de l’internet par les EuropéensAube Digitale - 20 jan 2024
Ces dernières années, la censure pure et simple sous toutes ses formes a augmenté. Pendant la folie du covid, le gouvernement et l’industrie se sont associés pour créer un complexe censure-industrie afin de promouvoir plus efficacement de faux récits et de faire taire les dissidents.
La Commission européenne est un organe législatif de l’UE doté d’une autorité réglementaire en matière de technologie numérique. L’article 45 de la proposition de règlement eIDAS de la CE affaiblirait délibérément certains aspects de la sécurité de l’internet que l’industrie a soigneusement développés et renforcés depuis plus de 25 ans. Cet article accorderait en fait aux 27 gouvernements de l’UE des pouvoirs de surveillance très étendus sur l’utilisation d’Internet.
La règle exigerait que tous les navigateurs Internet fassent confiance à un certificat racine supplémentaire émanant d’une agence (ou d’une entité réglementée) de chacun des gouvernements nationaux de chacun des États membres de l’UE. Pour les lecteurs non spécialistes, je vais expliquer ce qu’est un certificat racine, comment la confiance dans l’internet a évolué et ce que l’article 45 apporte à cet égard. Ensuite, je mettrai en lumière certains commentaires de la communauté technologique sur cette question.
La section suivante de cet article explique comment fonctionne l’infrastructure de confiance de l’internet. Ce contexte est nécessaire pour comprendre à quel point l’article proposé est radical. L’explication est destinée à être accessible à un lecteur non technicien.
Le règlement en question porte sur la sécurité de l’internet. Par « internet », on entend ici, dans une large mesure, les navigateurs qui visitent des sites web. La sécurité de l’internet comporte de nombreux aspects distincts. L’article 45 vise à modifier l’infrastructure à clé publique (ICP), qui fait partie de la sécurité de l’internet depuis le milieu des années 90. L’ICP a d’abord été adoptée, puis améliorée sur une période de 25 ans, afin de donner aux utilisateurs et aux éditeurs les garanties suivantes :
Confidentialité de la conversation entre le navigateur et le site web : Les navigateurs et les sites web conversent sur l’internet, un réseau de réseaux exploités par des fournisseurs d’accès à l’internet et des opérateurs de niveau 1, ou des opérateurs cellulaires si l’appareil est mobile. Le réseau lui-même n’est pas intrinsèquement sûr ni digne de confiance. Votre fournisseur d’accès à Internet à domicile, un voyageur dans la salle d’attente de l’aéroport où vous attendez votre vol, ou un fournisseur de données cherchant à vendre des prospects à des annonceurs peuvent vouloir vous espionner. Sans aucune protection, un acteur malveillant pourrait consulter des données confidentielles telles qu’un mot de passe, le solde d’une carte de crédit ou des informations sur la santé.
Garantissez que vous visualisez la page exactement comme le site web vous l’a envoyée : Lorsque vous consultez une page web, celle-ci a-t-elle pu être modifiée entre l’éditeur et votre navigateur ? Un censeur peut vouloir supprimer un contenu qu’il ne veut pas que vous voyiez. Les contenus qualifiés de « désinformation » ont été largement supprimés pendant l’hystérie du covid. Un pirate informatique qui a volé votre carte de crédit pourrait vouloir supprimer les preuves de ses dépenses frauduleuses.
Garantissez que le site web que vous voyez est bien celui qui figure dans la barre d’adresse du navigateur : Lorsque vous vous connectez à une banque, comment savez-vous que vous voyez le site web de cette banque, et non une version falsifiée qui semble identique ? Vous vérifiez la barre d’adresse de votre navigateur. Votre navigateur pourrait-il être piégé et vous montrer un faux site web qui semble identique au vrai ? Comment votre navigateur sait-il – avec certitude – qu’il est connecté au bon site ?
Dans les premiers temps de l’internet, aucune de ces garanties n’existait. En 2010, un plugin de navigateur disponible dans le magasin de modules complémentaires permettait à l’utilisateur de participer au chat d’un groupe Facebook d’une autre personne dans un café hotspot. Aujourd’hui, grâce à l’ICP, vous pouvez être pratiquement sûr de ces choses.
Ces caractéristiques de sécurité sont protégées par un système basé sur des certificats numériques. Les certificats numériques sont une forme d’identification – la version Internet d’un permis de conduire. Lorsqu’un navigateur se connecte à un site, ce dernier lui présente un certificat. Le certificat contient une clé cryptographique. Le navigateur et le site web travaillent ensemble à l’aide d’une série de calculs cryptographiques pour établir une communication sécurisée.
Ensemble, le navigateur et le site web fournissent les trois garanties de sécurité :
- confidentialité : en chiffrant la conversation.
- signatures numériques cryptographiques : pour s’assurer que le contenu n’est pas modifié en vol.
- vérification de l’éditeur : grâce à la chaîne de confiance fournie par l’ICP, que j’expliquerai plus en détail ci-dessous.
Une bonne identité doit être difficile à contrefaire. Dans l’Antiquité, le moulage en cire d’un sceau servait à cette fin. Les identités humaines reposent sur la biométrie. Votre visage est l’une des formes les plus anciennes. Dans le monde non numérique, lorsque vous devez accéder à un lieu où l’âge est limité, par exemple pour commander une boisson alcoolisée, on vous demandera une pièce d’identité avec photo.
