"Surveiller ses citoyens": des spécialistes alertent contre un texte européen visant les navigateurs Web

Une ONG et des chercheurs alertent, dans une lettre ouverte au Parlement européen, publiée jeudi 2 novembre, sur la révision d'une loi européenne qui pourrait donner lieu, à leurs yeux, à des dérives concernant la vie privée des citoyens européens.

Cette loi européenne datant de 2014, qui doit être révisée puis votée par le Parlement européen dans les jours à venir, doit apporter "des garanties technologiques adéquates pour les citoyens et les entreprises", et sécuriser "les interactions numériques des citoyens avec les institutions gouvernementales et l’industrie (…) tout en protégeant la vie privée des citoyens", comme le rapporte le site spécialisé 01net.

Garantie d'authenticité

Mais les 335 auteurs de la lettre ouverte, adressée au Parlement et au Conseil de l'UE, s'inquiètent en particulier de la révision de l'article 45 de cette loi, qui mentionne les certificats de sécurité délivrés pour garantir l'authenticité d'un site web.

Ce certificat de sécurité, c'est "ce qu'il y a derrière le petit cadenas" à côté du lien d'un site web, explique à Tech&Co Olivier Blazy, signataire de la lettre et professeur à l'Ecole Polytechnique.

"Le certificat d'authenticité a deux fonctions: garantir qu'on parle bien au site web de façon chiffrée (et que les informations qu'on lui envoie ne transitent qu'entre nous et lui), et garantir l'authenticité du site web. Par exemple, si je vais sur Google, le cadenas m'assure que je ne suis pas sur un site qui se fait passer pour Google", continue-t-il.

Certficats de sécurité

Actuellement, ces certificats de sécurité sont délivrés par des autorités de certification, qui doivent se tenir à "une législation, complétée par des processus publics et une vigilance constante", expliquent les auteurs de la lettre.

Mais, remanié, l'article 45 pourrait donner le pouvoir à chaque Etat européen, ou à des pays tiers approuvés par un Etat européen, d'imposer des certificats de sécurité aux navigateurs web, comme Chrome, Mozilla ou Safari par exemple.

Une position qui mettrait les différents Etats européens ou certains pays tiers en position d'intercepter les informations de navigation de n'importe quel internaute, selon les auteurs de la lettre ouverte.

"Dans la dernière révision, les navigateurs n'auront pas le droit de signaler ou d'interdire un certificat lorsqu'ils constateront une faille de sécurité à celui-ci. On ne peut pas se permettre d'attendre une décision européenne dans ces situations. Si les navigateurs ne peuvent pas stopper un certificat non-sécurisé, beaucoup d'utilisateurs vont se faire piéger", s'inquiète Olivier Blazy.

"On peut s'inquiéter"

Et un certificat non-sécurisé n'aurait pas d'effet que dans le pays où il est autorisé, selon Olivier Blazy. "Dans les navigateurs en question, tous les certificats de sécurité de tous les pays seront sauvegardés. Donc, si un pays engendre un certificat malicieux, celui-ci pourra être exploité en dehors du pays en question", explique-t-il.

Au risque d'engendrer "des écoutes, de l'ingérence étrangère, de la corruption", craint Olivier Blazy auprès de Tech&Co.

"La proposition actuelle étend largement la capacité des gouvernements à surveiller leurs propres citoyens et les résidents de toute l’UE" alerte ainsi la lettre ouverte des spécialistes.

"On a vu des précédents où des pays poussaient ces pratiques pour pouvoir faire des 'écoutes en ligne' de leurs citoyens. Ce n'est jamais arrivé en Europe, mais à partir du moment où on ouvre la porte, et si on imagine que certains pays reçoivent des pressions, on peut s'inquiéter".

Quelle solution, alors? Selon Olivier Blazy, un "compromis" serait à trouver entre le fait d'imposer des autorités de certification aux navigateurs, et la capacité de ces derniers à mettre le holà aux autorités qu'ils considèrent non fiables ou malveillantes.

Pour l'heure, la loi est toujours à l'état de révision, et ce pendant plusieurs jours. La révision devra par la suite être votée par le Parlement européen.