Mozilla : Un rapport soulève des préoccupations concernant une menace potentielle pour la cybersécurité dans le cadre de l'identité numérique de l'UE

BRUXELLES, 17 mai 2023 /PRNewswire/ -- D'éminents experts en sécurité ont exprimé leurs préoccupations concernant la proposition de révision de l'article 45.2 du règlement eIDAS par l'Union européenne (UE), évoquant les risques potentiels pour les normes d'authentification et de chiffrement web. Un nouveau rapport, établi par l'Economist Impact Studios pour Mozilla et la campagne #SecurityRiskAhead, inclut les conclusions d'experts mondiaux de l'industrie et de la société civile.

Le rapport montre que l'article 45.2 pourrait affaiblir la cybersécurité des internautes, les rendant vulnérables à la surveillance étatique et à l'interception ciblée du trafic Internet. La loi pourrait réellement contourner les contrôles de sécurité existants, car les navigateurs seraient tenus de prendre en charge les certificats qualifiés d'authentification de sites Internet (QWAC) conçus par l'UE. Les QWAC ne sont pas disponibles gratuitement et ont des propriétés de sécurité plus faibles que les certificats les plus couramment utilisés par les navigateurs.

Joseph Lorenzo Hall, vice-président principal responsable de l'Internet fort à l'Internet Society, a souligné que la sécurité du web évolue et s'adapte sans cesse, et si elle était incluse à la législation, la révision proposée ne tiendrait pas compte de la nature dynamique des menaces à la sécurité. « En verrouillant un mécanisme d'exception pour les entités de confiance du gouvernement de l'UE, il sera par exemple interdit aux navigateurs de révoquer la confiance sur certaines choses. Cela signifie que vous pourriez avoir un groupe de sites web en ligne parodiés ou espionnés par des autorités désignées par l'UE ayant été piratées. Nous sommes menottés et ne pouvons pas faire ce que nous ferions normalement très rapidement pour protéger les internautes. »

Marshall Erwin, vice-président et directeur de la sécurité chez Mozilla Corporation, a déclaré : « Le vrai problème avec l'article 45.2 de l'eIDAS est qu'il va créer un précédent que les régimes du monde entier vont suivre, et ainsi non seulement saper le chiffrement web en général, mais aussi mettre en danger les dissidents et les journalistes. »

Arvid Vermote, responsable mondial de la sécurité de l'information chez GlobalSign, une autorité de certification, a souligné le risque d'avoir 30 organismes de supervision supplémentaires capables de qualifier une entreprise comme mondialement fiable, contre seulement quatre. Il a déclaré : « Pour moi, ce serait un problème astronomique », car cela pourrait permettre l'interception ciblée du trafic Internet en cas de piratage.

En résonance avec d'autres personnes interrogées, Scott Helme, un chercheur en authentification et en sécurité, a souligné l'importance d'avoir des certificats gratuits qui « ont été fondamentaux dans la transition complète de la sécurité web. »

Rendez-vous sur securityriskahead.eu