Après des années de procédure législative, le texte quasi définitif du règlement eIDAS a été approuvé par les négociateurs du trilogue représentant les principaux organes de l'UE et sera présenté au public et au Parlement pour approbation avant la fin de l'année. De nouveaux articles législatifs, introduits lors de récentes réunions à huis clos et non encore rendus publics, prévoient que tous les navigateurs web distribués en Europe devront faire confiance aux autorités de certification et aux clés cryptographiques sélectionnées par les gouvernements de l'UE.
Ces changements élargissent radicalement la capacité des gouvernements de l'UE à surveiller leurs citoyens en garantissant que les clés cryptographiques contrôlées par le gouvernement peuvent être utilisées pour intercepter le trafic web crypté à travers l'UE. Tout État membre de l'UE a la possibilité de désigner des clés cryptographiques à distribuer dans les navigateurs web et il est interdit aux navigateurs de révoquer la confiance dans ces clés sans l'autorisation du gouvernement.
Cela permet au gouvernement de n'importe quel État membre de l'UE de délivrer des certificats de site web pour l'interception et la surveillance, qui peuvent être utilisés contre tous les citoyens de l'UE, même ceux qui ne résident pas dans l'État membre émetteur ou qui n'y sont pas connectés. Les décisions prises par les États membres en ce qui concerne les clés qu'ils autorisent et l'usage qu'ils en font ne font l'objet d'aucun contrôle ou équilibre indépendant. Cette situation est d'autant plus préoccupante que le respect de l'État de droit n'a pas été uniforme dans tous les États membres, avec des cas documentés de coercition par la police secrète à des fins politiques.
Le texte poursuit en interdisant aux navigateurs d'appliquer des contrôles de sécurité à ces clés et certificats de l'UE, à l'exception de ceux qui sont préapprouvés par l'organisme de normalisation informatique de l'UE, l'ETSI. Cette structure rigide serait problématique pour n'importe quelle entité, mais les organismes de normalisation contrôlés par les gouvernements sont particulièrement susceptibles d'avoir des incitations mal alignées dans le domaine de la cryptographie. L'ETSI, en particulier, a des antécédents inquiétants en matière de production de normes cryptographiques compromises et dispose d'un groupe de travail entièrement consacré au développement de la technologie d'interception.
L'introduction de ce texte si tard dans le processus législatif et à huis clos est également très préoccupante pour les normes démocratiques en Europe. Bien que l'accord lui-même ait été annoncé publiquement à la fin du mois de juin, l'annonce ne mentionne même pas les certificats de site web, et encore moins ces nouvelles dispositions. Il est donc extrêmement difficile pour la société civile, les universitaires et le grand public d'examiner ou même de connaître les lois que leurs représentants ont approuvées lors de réunions privées.
Protestation dans les milieux universitaires, la société civile et l'industrie
Plus de 300 experts et chercheurs en cybersécurité du monde entier ont signé une lettre ouverte appelant l'UE à abandonner ces projets et à protéger le web :
Après avoir lu le texte quasi définitif, nous sommes profondément préoccupés par le texte proposé pour l'article 45. La proposition actuelle élargit radicalement la capacité des gouvernements à surveiller à la fois leurs propres citoyens et les résidents de l'UE en leur fournissant les moyens techniques d'intercepter le trafic web crypté, ainsi qu'en sapant les mécanismes de contrôle existants sur lesquels les citoyens européens s'appuient.
[...]
Nous vous demandons de reconsidérer ce texte de toute urgence et de préciser que l'article 45 n'interférera pas avec les décisions de confiance concernant les clés cryptographiques et les certificats utilisés pour sécuriser le trafic web.
Des groupes de la société civile ont également soutenu la lettre, notamment l'Internet Society, European Digital Rights (EDRi), l'EFF, Epicenter.works et bien d'autres.
Leurs appels ont également été relayés par des entreprises qui contribuent à la construction et à la sécurisation de l'internet, notamment la Fondation Linux, Mullvad, DNS0.EU et Mozilla, qui ont publié leur propre déclaration.
Quelles sont les prochaines étapes ?
Ce texte doit être approuvé lors de la réunion finale du trilogue à huis clos à Bruxelles le 8 novembre, après quoi il sera publié et présenté pour ratification formelle au Parlement européen. Ce vote devrait avoir lieu dans les premiers mois de 2024, mais il est considéré comme une formalité, le texte des négociations en trilogue étant généralement adopté sans modification.
Partager