Une révision de certains articles de l’eIDAS, règlement européen
sur l’identification électronique et les services de confiance pour
les transactions électroniques, doit être finalisée le 8 novembre.

Un nombre croissant d’experts en cybersécurité et en cryptographie
appliquée demandent que les réformes prévues du règlement eIDAS
soient reconsidérées. C’est un appel que nos législateurs devraient
prendre au sérieux. Bien que le règlement eIDAS comporte des aspects
positifs, la proposition relative aux certificats d’authentification de
sites web qualifiés (QWAC) ne semble pas avoir fait l’objet d’une
réflexion approfondie. En effet, les réformes proposées par les
législateurs européens donneraient aux États membres la possibilité
d’imposer l’acceptation de nouveaux certificats racine dans les
navigateurs web, ce qui risquerait d’avoir un impact négatif sur la
sécurité qui garantit aux citoyens le respect de leur vie privée et
de la confidentialité lorsqu’ils utilisent l’internet. Si elle est
adoptée, cette réforme abaissera le seuil d’un éventuel abus
gouvernemental de la liberté de chacun, mais aussi d’autres types
d’abus.

Tout d’abord, rien ne garantit que les autorités gouvernementales
n’abuseront pas de cette capacité. Certains diront que nous sommes en
position de devoir faire confiance à la plus grande société de
marketing du monde ; je pense que Google tient beaucoup à préserver sa
réputation commerciale, tandis que les politiciens peuvent faire marche
arrière, prétendre ne pas se souvenir, et ainsi de suite...

Deuxièmement, il existe une possibilité très réelle que des
adversaires issus de n’importe quel État membre de l’UE puissent
s’insérer et abuser de la capacité de confiance intégrée dans les
navigateurs, rendant ainsi la sécurité de la réforme proposée
inefficace. Il y a déjà eu des incidents où des fournisseurs de
confiance ont été piratés. Si un adversaire trouve les moyens
d’abuser de ce type de technologie, les citoyens de l’UE seront soumis
à un danger très réel, car cela permettra aux adversaires d’usurper
l’identité d’autres sites web protégés, d’intercepter les
communications et d’écouter les connexions à ces sites pour
déclencher une nouvelle série d’attaques.

Enfin, avec les progrès exponentiels réalisés dans le domaine de
l’intelligence artificielle, les attaques éventuelles lancées à
l’aide de cette technologie pourront être déployées presque
instantanément. Pourquoi laisserions-nous une porte ouverte, aussi
petite soit-elle, pour qu’un monstre puisse s’y faufiler ? Certes, ce
dernier point est assez spéculatif, mais je pense qu’il est logique de
ne pas nous laisser prendre des risques inconnus.