Discussion :

[TotoParis]

L'EU (vous savez, le truc qui protège contre l'extrême droite nationaliste) continue sa dérive... d'extrême droite fasciste

Dans un régime d'extrême-droite, ou fasciste, tu serais déjà mort de 2 balles dans la nuque.
Qu'est-ce qu'on peut pas lire comme bêtises de la part des boutonneux d'extrême-gauche en France, sur l'extrême-droite, le fascisme.
Néanmoins, la tentation autoritaire de ces fonctionnaires hors-sol est bien là. Mais rien à voir avec l'extrême-droite, le fascisme.

[smasper]

Je suis contre, pour les raisons évidentes évoquées dans cet article. l'UE n'en fait vraiment qu'à sa tête, et en catimini ce qui effectivement n'augure rien de bon. Cette légendaire opacité n'en finit pas de m'inquiéter quant à la nature de nos démocraties.

[Jade Emy]

La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans, ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF.

D'après l'EFF, l'article 45 de la réglementation européenne eIDAS 2.0 fera reculer la sécurité du Web de 12 ans. Cela nous ramènerait à l'âge des ténèbres de 2011, lorsque les autorités de certification (AC) pouvaient collaborer avec les gouvernements pour espionner le trafic chiffré et s'en tirer à bon compte. L'EFF avertit que ce serait une catastrophe pour la vie privée de tous ceux qui utilisent l'internet, mais surtout pour ceux qui utilisent l'internet dans l'UE.

L'UE est sur le point d'adopter un nouveau règlement radical, eIDAS 2.0. L'article 45, profondément enfoui dans le texte, nous ramène à l'âge des ténèbres de 2011, lorsque les autorités de certification (AC) pouvaient collaborer avec les gouvernements pour espionner le trafic chiffré et s'en tirer à bon compte. L'article 45 interdit aux navigateurs d'imposer des exigences de sécurité modernes à certaines autorités de certification sans l'approbation d'un gouvernement membre de l'UE. Quelles AC ? Plus précisément les autorités de certification désignées par le gouvernement et qui, dans certains cas, sont détenues ou exploitées par ce même gouvernement. Cela signifie que les clés de chiffrement contrôlées par un gouvernement pourraient être utilisées pour intercepter les communications HTTPS dans l'ensemble de l'UE et au-delà.

C'est une catastrophe pour la vie privée de tous ceux qui utilisent l'internet, mais surtout pour ceux qui utilisent l'internet dans l'UE. Les fabricants de navigateurs n'ont pas encore annoncé leurs plans, mais il semble inévitable qu'ils devront créer deux versions de leurs logiciels : une pour l'UE, avec des contrôles de sécurité supprimés, et une autre pour le reste du monde, avec des contrôles de sécurité intacts. On a déjà connu cette situation, lorsque les contrôles à l'exportation sur le chiffrement signifiaient que les navigateurs étaient publiés en deux versions : un chiffrement fort pour les utilisateurs américains, et un chiffrement faible pour tous les autres. Il s'agissait d'une situation fondamentalement inéquitable, dont les répercussions ont fait reculer la sécurité du web de plusieurs décennies.

Le texte actuel de l'article 45 exige que les navigateurs fassent confiance aux autorités de certification désignées par les gouvernements et interdit aux navigateurs d'imposer à ces autorités de certification des exigences de sécurité supérieures à celles approuvées par l'ETSI. En d'autres termes, il fixe une barre supérieure au niveau de sécurité que les navigateurs peuvent exiger des AC, plutôt qu'une barre inférieure. Cela limite à son tour la vigueur de la concurrence que se livrent les navigateurs pour améliorer la sécurité de leurs utilisateurs.

Cette barre supérieure de sécurité peut même interdire aux navigateurs d'appliquer la transparence des certificats, une norme technique de l'IETF qui garantit que l'historique d'émission d'une autorité de certification peut être examiné par le public afin de détecter les malversations. En interdisant l'application de la transparence des certificats, il est beaucoup plus probable que l'espionnage gouvernemental ne soit pas détecté.

Pourquoi est-ce si important ? Le rôle d'une autorité de certification est d'amorcer la communication chiffrée HTTPS avec les sites web en délivrant des certificats. La principale responsabilité de l'autorité de certification est de faire correspondre les noms des sites web avec les clients, de sorte que l'opérateur d'un site web puisse obtenir un certificat valide pour ce site, mais que personne d'autre ne puisse le faire. Si quelqu'un d'autre obtient un certificat pour ce site web, il peut l'utiliser pour intercepter des communications chiffrées, ce qui signifie qu'il peut lire des informations privées telles que des courriels.

On sait que le chiffrement HTTPS est un obstacle à l'espionnage gouvernemental grâce à la fameuse note de la NSA "SSL ajouté et supprimé ici". On sait également que des certificats mal délivrés ont été utilisés par le passé pour espionner le trafic. Par exemple, en 2011, DigiNotar a été piraté et les certificats qui en ont résulté ont été utilisés pour intercepter les courriels de personnes en Iran. En 2015, le CNNIC a émis un certificat intermédiaire utilisé pour intercepter le trafic de plusieurs sites web. Chaque autorité de certification a ensuite fait l'objet d'une méfiance.

La méfiance à l'égard d'une autorité de certification n'est que l'une des extrémités d'un spectre d'interventions techniques que les navigateurs peuvent prendre pour améliorer la sécurité de leurs utilisateurs. Les navigateurs utilisent des "programmes racines" pour contrôler la sécurité et la fiabilité des autorités de certification auxquelles ils font confiance. Ces programmes racines imposent un certain nombre d'exigences allant de "comment le matériel clé doit-il être sécurisé" à "comment la validation du contrôle du nom de domaine doit-elle être effectuée" en passant par "quels algorithmes doivent être utilisés pour la signature des certificats". Par exemple, la sécurité des certificats repose essentiellement sur la sécurité de l'algorithme de hachage utilisé. L'algorithme de hachage SHA-1, publié en 1993, était considéré comme non sécurisé en 2005. Le NIST a interdit son utilisation en 2013. Cependant, les autorités de certification n'ont cessé de l'utiliser qu'en 2017, et ce uniquement parce qu'un navigateur a exigé la suppression de SHA-1 dans son programme racine. Les autres navigateurs ont ensuite suivi, de même que le CA/Browser Forum.

La suppression de SHA-1 illustre le recul des incitations à la sécurité pour les autorités de certification. Une autorité de certification s'adresse à deux publics : ses clients, qui obtiennent des certificats auprès d'elle, et le reste de l'internet, qui lui fait confiance pour assurer la sécurité. Lorsque le moment est venu de relever la barre de la sécurité, l'autorité de certification entend souvent ses clients dire que la mise à niveau est difficile et coûteuse, ce qui est parfois le cas. Cela motive l'autorité de certification à traîner les pieds et à continuer d'offrir une technologie non sécurisée. Mais l'autre public de l'autorité de certification, la population des internautes du monde entier, a besoin qu'elle améliore continuellement la sécurité. C'est pourquoi les programmes racine des navigateurs doivent exiger (et exigent) un niveau de sécurité toujours plus élevé de la part des autorités de certification. Les programmes racine défendent les besoins de leurs utilisateurs afin de pouvoir fournir un produit plus sûr. La sécurité du programme racine d'un navigateur est, d'une manière très réelle, un facteur déterminant de la sécurité du navigateur lui-même.

C'est pourquoi il est si inquiétant que l'eIDAS 2.0 soit sur le point d'empêcher les navigateurs de demander des comptes aux autorités de certification. Il est tout à fait possible d'élever le niveau de sécurité des AC, mais abaisser la barre de façon permanente signifie moins de responsabilité pour les AC et moins de sécurité pour les utilisateurs d'Internet partout dans le monde.

Le texte n'est pas encore définitif, mais il doit être approuvé à huis clos à Bruxelles le 8 novembre 2023.

Source : EFF

Et vous ?

Pensez-vous que les préoccupations de l'EFF sont crédibles ou pertinentes ?
Quel est votre avis sur toutes ces réactions sur l'eIDAS 2.0 ?

Voir aussi :

Dernière chance de corriger eIDAS : la loi secrète de l'Union européenne sur l'identification électronique qui menace la sécurité de l'internet d'après Mozilla

L'UE veut procéder à une vérification de l'identité des internautes à l'horizon 2024 et si possible via une carte d'identité numérique pour lutter contre les abus sexuels à l'endroit des enfants

Le portefeuille d'identification numérique de l'UE arrive, voici ce qu'implique en pratique son utilisation

[Patrick Ruiz]

Mauvaise eIDAS : l’UE se tient prête à intercepter et espionner vos connexions HTTPS dans le cadre d’un énième projet
Qui signe la fin de la confidentialité des communications numériques en Europe

Les législateurs européens se tiennent prêts à adopter des règles en matière d'identité numérique qui, selon les groupes de la société civile, rendront l'internet moins sûr et ouvriront les citoyens à la surveillance en ligne. Comme le résume Mozilla : « Cela permet au gouvernement de n'importe quel État membre de l'UE de délivrer des certificats de site web pour l'interception et la surveillance, qui peuvent être utilisés contre tous les citoyens de l'UE, même ceux qui ne résident pas dans l'État membre émetteur ou qui n'ont pas de lien avec lui. » Electronic Identification, Authentication and Trust Services (eIDAS) inquiète les défenseurs des libertés civiles surtout que l’UE multiplie les projets similaires dans le but de mettre un terme à la confidentialité des communications numériques.

eIDAS 2.0 prévoit que des autorités de certification approuvées par l’UE délivrent des certificats TLS aux sites web.

Pour communiquer en toute sécurité à l'aide du chiffrement TLS, un site web doit obtenir un certificat numérique, émis et signé numériquement par une autorité de certification, qui indique que l'adresse du site web correspond à l'adresse certifiée. Lorsqu'un navigateur visite ce site, le site web lui présente une partie publique du certificat émis par l'autorité de certification, et le navigateur vérifie que le certificat a bien été émis par l'une des autorités de certification auxquelles il fait confiance, à l'aide du certificat racine, et qu'il est correct pour ce site.

Si le certificat a été émis par une bonne autorité de certification connue et que tous les détails sont corrects, le site est fiable et le navigateur tente d'établir une connexion sécurisée et chiffrée avec le site web, de sorte que votre activité sur le site n'est pas visible pour une personne écoutant les conversations sur le réseau. Si le certificat a été délivré par une autorité de certification non fiable, ou si le certificat ne correspond pas à l'adresse du site web, ou si certains détails sont erronés, le navigateur rejettera le site web parce qu'il craint qu'il ne soit pas connecté au site web réel souhaité par l'utilisateur, et qu'il soit en train de parler à un imposteur.

Problème : si un site web reçoit un certificat de l'une des autorités de certification susmentionnées, soutenues par un gouvernement européen, ce gouvernement peut demander à son autorité de certification amie une copie de ce certificat afin de pouvoir usurper l'identité du site web. Ainsi, en utilisant un proxy dans le cadre d'une attaque de type man-in-the-middle, ce gouvernement peut intercepter et déchiffrer le trafic HTTPS chiffré entre le site web et ses utilisateurs, ce qui permet au régime de surveiller exactement ce que les gens font sur ce site à tout moment.

« L'Union européenne est sur le point d'adopter un nouveau règlement d'envergure, eIDAS 2.0. L'article 45, profondément enfoui dans le texte, nous ramène à l'époque où les autorités de certification pouvaient collaborer avec les gouvernements pour espionner le trafic chiffréé et s'en tirer à bon compte », commente l’EFF.

L’UE multiplie les manœuvres dans le but de mettre un terme à la confidentialité des communications numériques

La Commission de l’UE propose d'obliger les fournisseurs de services de courrier électronique, de chat et de messagerie à rechercher automatiquement des contenus suspects dans tous les chats, messages et courriels privés, de manière générale et sans distinction. La proposition implique de bannir le chiffrement que des plateformes comme WhatsApp et autres Signal proposent. L'objectif : lutter contre les abus sexuels des enfants en ligne.

De façon plus détaillée, les conséquences de l’entrée en vigueur de ce projet de loi sont :

• toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
• si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
• les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la "sollicitation d'enfants" signalent souvent à tort les conversations intimes ;
• des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
• lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
• ce serait la porte ouverte pour les services de renseignement et les pirates sur les conversations et courriels.

Les avis divergent sur la question et la France apparaît dans certaines listes de pays pour l’affaiblissement du chiffrement aux fins de lutter contre la pédopornographie.

Source : EFF

Et vous ?

Pour ou contre l’interception et l’espionnage des connexions HTTPS par les Etats membres de l’UE via eIDAS (Electronic Identification, Authentication and Trust Services ?
Scanner toutes les conversations privées pour lutter contre la pédopornographie : pour ou contre ? De quel bord êtes-vous ?

Voir aussi :

Le bitcoin vaut moins que le coût d'extraction, selon JPMorgan, le coût de revient moyen pondéré d'un bitcoin étant estimé à environ 4060 $
La cryptomonnaie de Facebook, une opportunité de 19 milliards de dollars de revenus, et une nouvelle affaire autre que la publicité, selon Barclays
La majorité du marché de bitcoin est une tromperie, 95 % du volume des échanges de cette monnaie étant truqué, selon une nouvelle étude
Cryptomonnaie : le crash du marché laisse des entreprises en faillite dans son sillage, des développeurs étant privés de financement supplémentaire
L'État de New York approuve deux cryptomonnaies liées au dollar : deux nouveaux stablecoins à la suite du TrueUSD aux États-Unis

[melka one]

mettez vous au https c'est plus sécurisé que le http qu'il disait

[ludovicdeluna]

J'ai eu la chance de vivre une faille de sécurité liée au certificat racine d'un éditeur très connu du monde open source qui a été piraté. C'est rare, mais ça arrive. Ce qui m'a le plus impressionné, c'est qu'il a été assez simple d'avoir des infos sur le "comment" et quel service technique contacter. Et le pauvre service en question s'est fait harcelé des jours pour révoquer le certificat.

J'ai été un mouton et j'ai fait pareil, peut-être de façon plus modérée (j'avoue avoir revu ma copie). La réponse renvoyée avec un lien vers le forum de l'équipe disait, en substance, que sans directive de l'entreprise en question, le certificat racine ne peut pas être révoqué. Ils indiquaient d'ailleurs avoir averti bien avant que l'info ne fuite sur Internet.

Et c'est là que j'ai compris que toute cette infrastructure parfaitement sécurisée avait en principal point faible les personnes qui en ont la charge sur le plan politique (et donc financier).

Je lis cette news, et je sais très bien que la même chose arrivera à l'échelle du pays. Mais à la différence de ma mésaventure, il ne suffira pas de désélectionner une mise à jour automatique. On mettra ça sur le même plan que la base de pôle emploie piraté, ou celle d'Ameli (qui me vaut depuis des appels téléphoniques par des bots).

Il y a toutefois une jolie lumière au bout du tunnel : toutes les personnes qui décident n'ont aucunement la compétence pour comprendre la portée de leur décision. Mais ils ont le champ libre, car clairement, ce sujet n’intéresse personne. Néanmoins, quand une faille à l'échelle nationale aura des répercussions concrètes sur une majorité de citoyens, ce sera le problème de tout le monde. On aura toujours les mêmes ignorants, mais ils auront besoin de garanties. Et ce jour-là, le système fera machine arrière en présentant la situation comme une amélioration.

Bref. Wait & see.

[eddy72]

fouille des mails OK
mais de tous alors !!!
simple citoyens,
politiciens,
policiers,
avocats,
managers ...

[Anthony]

Réforme de l'identité numérique dans l'UE : Le Bon, la Brute et le Truand dans le règlement eIDAS, d'après epicenter.works et l'European Digital Rights (EDRi)

Après plus de deux ans de négociations, la grande réforme de l'identité numérique de l'Union européenne sera conclue cette semaine, le mercredi 8 novembre 2023. Le "règlement eIDAS" établira un cadre entièrement harmonisé pour l'identification juridiquement contraignante des personnes, la preuve de leurs caractéristiques et la connexion à des sites web ou à des applications. D'ici 2026, les 27 États membres de l'UE devront proposer à leurs citoyens et résidents ce que l'on appelle un "portefeuille européen d'identité numérique" (en abrégé : "Wallet"). Le grand changement est que ce système ne sera pas réservé à l'administration en ligne, mais que le secteur privé pourra également demander à ses clients ou à ses visiteurs des informations les concernant. Les sites web de l'administration en ligne et les entreprises de la Big Tech comme Google, Facebook ou Amazon devront proposer le Wallet comme moyen de se connecter à leurs services.

Dès le premier jour, nous nous sommes inquiétés de ce projet de loi et de son potentiel de remise en cause de l'anonymat en ligne, des scénarios d'abus à l'encontre des groupes vulnérables de la société et des risques de traçage et d'espionnage. Nous avons publié cinq prises de position, témoigné devant deux commissions du Parlement européen, rédigé des amendements, été en contact permanent avec les législateurs du Parlement, du Conseil et de la Commission, prononcé des discours publics sur la loi, répondu à d'innombrables demandes des médias et envoyé trois lettres ouvertes, dont la dernière a été signée par plus de 400 universitaires et 30 ONG. À quoi cela a-t-il servi ? Examinons le texte final.

Le Bon

Protections contre la discrimination

La protection contre la discrimination est un pilier essentiel de la protection de la liberté de choix et de l'inclusion de tous les groupes dans la société. Celle-ci va au-delà de la nature volontaire du portefeuille qui était déjà inscrite dans la proposition initiale. Les quatre commissions du Parlement européen ont adopté à une large majorité que l'accès aux services publics et privés, l'accès au marché du travail et la liberté d'entreprendre ne doivent en aucun cas être restreints ou désavantagés pour les personnes physiques ou morales qui n'utilisent pas le portefeuille. Le texte final garantit que toute personne qui décide de ne pas utiliser le portefeuille dans une situation donnée ne peut se voir imposer un prix plus élevé ou être exclue de l'accès à un service ou à un bien. Cette disposition était l'une de nos principales demandes, afin de protéger, par exemple, les personnes sans smartphone et leur participation à la société (personnes âgées, enfants, etc.), ainsi que toute personne dont les documents officiels ne correspondent pas à son identité réelle (par exemple, les personnes transgenres).

Réglementation des cas d'utilisation

Le grand changement de la réforme eIDAS est que le secteur privé peut également utiliser le portefeuille pour demander à ses clients, utilisateurs ou visiteurs leurs informations personnelles. Ces informations peuvent être délivrées par le gouvernement, comme le nom réel, la date de naissance, le diplôme, les certificats de vaccination, les tickets de transport public ou le permis de conduire, mais elles peuvent également provenir du secteur privé, comme dans les programmes de fidélisation de la clientèle ou l'évaluation du crédit. Dans ce contexte, nous devons nous attendre aux pires formes de capitalisme de surveillance et aux tentatives des entreprises d'obtenir des informations fiables sur une personne, qu'il peut être très préjudiciable pour elle de transmettre. Conscients de ce risque, nous avons exigé que les informations que les entreprises peuvent demander aux personnes soient limitées.

Le texte actuel garantit que toutes les parties utilisatrices s'enregistrent dans le pays où elles sont établies, s'identifient avec leurs coordonnées, fournissent des informations sur le cas d'utilisation pour lequel elles veulent utiliser le portefeuille et les informations concrètes qu'elles veulent demander à l'utilisateur. Le portefeuille limite ensuite les informations que la partie utilisatrice peut demander à ce qui figure dans son enregistrement. Si, par exemple, un magasin de spiritueux s'enregistre pour vérifier l'âge, il ne peut pas demander d'autres informations qui pourraient figurer dans le portefeuille, comme des informations sur la santé. En outre, la liste des entreprises enregistrées, leurs cas d'utilisation et les informations qu'elles ont l'intention de demander doivent être accessibles au public en ligne. Lorsqu'un utilisateur est invité via le portefeuille à fournir des informations le concernant, il voit d'abord l'identité de l'entreprise qui le sollicite. L'utilisateur peut alors refuser de partager certaines ou toutes les informations qui lui sont demandées. Si une partie utilisatrice se comporte mal, l'utilisateur peut révoquer son consentement à ce qu'elle dispose de ses données et déposer une plainte auprès d'une autorité de régulation nationale. L'entreprise peut alors être exclue du système (voir le "privacy cockpit" et le "forum-shopping" ci-dessous).

Identifiant unique

La proposition initiale prévoyait un numéro de série pour tous les êtres humains en imposant un identifiant unique et persistant pour chacun. Ce numéro aurait permis de corréler tout ce que fait un utilisateur dans tous les domaines de la société (santé, transport, finance, commerce, etc.). Le suivi et le profilage en ligne et hors ligne auraient été plus faciles que jamais. Nous avons commencé à travailler sur ce dossier avec l'objectif principal d'empêcher ce numéro de série et nous avons gagné. Le texte final ne mentionne plus d'identifiant unique et persistant et inclut même des garanties supplémentaires en matière de protection de la vie privée qui devraient empêcher le traçage.

Droit au pseudonymat

De nombreuses personnes ont besoin de l'anonymat en ligne pour exercer leurs droits fondamentaux, en particulier la liberté d'expression. Le portefeuille crée une infrastructure technique qui pourrait permettre d'identifier facilement et à peu de frais tout le monde en ligne et hors ligne à grande échelle. Dans de nombreuses interactions en ligne, c'est exactement ce que les entreprises aimeraient avoir : des informations d'identité certifiées par le gouvernement à notre sujet, en particulier dans le cadre de la publicité basée sur la surveillance. Le texte final du règlement eIDAS contrecarre cette tendance en instaurant un droit au pseudonymat. Il permet aux utilisateurs d'utiliser un pseudonyme généré par le portefeuille et qui n'est stocké que localement. Toutefois, ce droit peut être limité par la législation nationale et européenne.

Divulgation sélective, connaissance zéro et dissociabilité

Lorsqu'une entreprise demande des informations dans le portefeuille, l'utilisateur peut accepter de tout transmettre, de ne rien transmettre ou de "divulguer sélectivement" seulement certaines parties de ce qui lui a été demandé. Le portefeuille devrait également inclure la possibilité de prouver qu'un certain attribut sur soi-même est vrai, sans révéler l'information sous-jacente réelle. C'est ce qu'on appelle la "connaissance zéro". Par exemple, il est possible de prouver qu'une personne a plus de 18 ans sans révéler sa date de naissance. Malheureusement, la "connaissance zéro" n'est exigée des États membres que dans un considérant, de sorte qu'elle n'est pas forcément disponible dans tous les pays.

Lorsqu'une entreprise ne demande pas l'identification d'un utilisateur, mais seulement un certain attribut le concernant, cela doit être fait de manière à ce que les preuves multiples d'attributs soient "dissociables" les unes des autres. "L'impossibilité d'établir un lien" signifie que plusieurs interactions avec la même entreprise ou avec des entreprises différentes ne peuvent pas être reliées entre elles, ce qui empêche de suivre l'utilisateur et d'établir son profil. En pratique, cela signifie que si une personne prouve son âge avec le portefeuille tous les samedis soirs dans un club, les enregistrements numériques empêchent le propriétaire du club de savoir que c'est la même personne qui vient chaque semaine. Bien que, de manière générale, la vérification de l'âge soit souvent une mauvaise idée, ces techniques de préservation de la vie privée limitent au moins le risque.

Cockpit de confidentialité

Le portefeuille disposera d'un historique complet de toutes les demandes d'informations que l'utilisateur a reçues, des informations sur les entreprises qui ont demandé ces informations et, éventuellement, des informations que l'utilisateur a partagées avec elles. En outre, le portefeuille devra offrir la possibilité de demander la suppression de toute donnée personnelle figurant dans les dossiers de l'entreprise et de déposer une plainte auprès de l'autorité nationale de protection des données.

La Brute

Inobservabilité

La plus grande honte de cette réforme est le fait qu'il n'existe absolument aucune garantie empêchant les gouvernements qui fournissent le portefeuille de surveiller tout ce que ses utilisateurs font avec. Étant donné que cet outil peut être utilisé dans tous les domaines de la vie (santé, transport, finances, Internet, etc.), la quantité d'informations qu'un gouvernement peut obtenir sur la vie des gens est d'un niveau panoptique. Les utilisateurs du portefeuille pourraient voir leur vie entière reflétée dans ce seul ensemble de données sur la façon dont ils utilisent le portefeuille. Cette situation aurait pu être évitée grâce à des normes techniques garantissant l'inobservabilité. Le Parlement européen a adopté un excellent texte qui aurait fait exactement cela. Malheureusement, le texte final comprend des dispositions très larges qui permettent aux gouvernements de savoir tout ce que fait un utilisateur, même sans son consentement. Ce n'est qu'une question de temps avant que les forces de l'ordre n'exigent l'accès à ces informations.

Le Truand

Les certificats QWAC

L'idée que le propriétaire d'un nom de domaine soit visible dans le navigateur web a été abandonnée par tous les navigateurs du monde en 2009. En 2021, la Commission a jugé bon de forcer le monde entier à réintroduire cette idée du milieu des années 2000 de "validation étendue" sous le nouveau nom de "Qualified Website Authentication Certificates (QWAC)". Si personne n'utilisera ces certificats, le véritable préjudice causé par ce système est que tous les navigateurs web du monde seront obligés de faire confiance aux certificats racine de tous les fournisseurs européens de services de confiance, qu'ils soient réellement dignes de confiance ou non.

En réponse aux révélations d'Edward Snowden sur la surveillance de masse exercée par le gouvernement, la part du trafic web chiffré est passée de moins de la moitié à 95 %. La sécurité de ce chiffrement dépend des listes de certificats de confiance établies par les navigateurs et les gouvernements du monde entier ont tenté à plusieurs reprises d'attaquer ce système. Avec la proposition initiale, l'UE aurait brisé toute l'architecture de confiance du World Wide Web et même s'il s'était avéré qu'un certificat était utilisé à des fins de surveillance, rien dans la loi n'aurait permis au navigateur de l'exclure.

Le dernier rebondissement de cette histoire est que, quelques jours seulement avant l'accord final, les négociateurs ont accepté une modification du texte qui garantit la liberté des navigateurs de protéger l'authentification de domaine et le chiffrement du trafic web de la manière et avec la technologie qu'ils jugent les plus appropriées. En pratique, cela signifie que les navigateurs auront un moyen de résister aux QWAC qui sapent le chiffrement, en les séparant de TLS. Ainsi, nous pouvons au moins nous attendre à ce que des navigateurs comme Mozilla luttent contre l'affaiblissement de l'architecture de confiance du web. Pour d'autres, comme Microsoft, l'espoir est moindre.

Forum-Shopping

Certains pays de l'UE ont créé un modèle commercial en n'appliquant pas les lois européennes contre les grandes entreprises. En ce qui concerne la nouvelle identité numérique européenne, Facebook Ireland ou les sociétés de jeux d'argent en ligne à Malte seront soumis à la seule réglementation de leurs autorités publiques nationales. Alors que d'autres lois européennes, comme le GDPR ou la DSA, ont tenté de s'attaquer à ce problème et d'y apporter des solutions, cette loi eIDAS n'essaie même pas de le résoudre. Lorsque Facebook Ireland exige soudainement le nom réel, des informations financières ou de santé d'une personne, alors qu'elle n'en a pas le droit, aucune plainte contre elle ne sera traitée avec diligence, car l'autorité irlandaise de protection des données considère ironiquement qu'il lui appartient de protéger Facebook et non nos données. Ainsi, dans de tels cas, les agences de régulation des autres pays de l'UE n'ont aucune possibilité de virer une entreprise de l'écosystème Wallet si elle est située dans l'un de ces havres de paix. Le seul garde-fou contre cette situation est le suivant : ne pas utiliser le portefeuille pour partager des données lorsque l'entreprise qui demande les données provient de l'un de ces pays.

Sécurité et certifications

Le portefeuille sera délivré par un État membre de l'UE. Ce même État membre devra nommer des organismes de certification qui vérifieront si leur portefeuille national est réellement sûr et conforme à la loi. En outre, au cours des premières années, il n'y aura pas de norme de sécurité à l'échelle de l'UE, mais seulement des systèmes nationaux de certification de la sécurité. Ces systèmes seront discutés entre les États membres, mais dans la pratique, nous verrons des niveaux de sécurité très différents d'un État membre à l'autre, ce qui mettra potentiellement en danger de nombreux utilisateurs. Le backend du portefeuille pourrait ne pas recevoir de certification de sécurité du tout. À l'origine, le portefeuille était également censé être certifié s'il respectait les normes de confidentialité et le GDPR. Mais comme les États membres ont fait pression avec succès contre cela, c'est maintenant à eux de décider si leur Wallet national sera certifié pour la conformité à la vie privée ou non.

Source ouverte

Le code du programme de l'application du portefeuille doit être sous licence open source et accessible au public. Malheureusement, cette obligation a été fortement combattue par les États membres et édulcorée à la dernière minute pour ne pas inclure le logiciel du back-end. Ainsi, dans sa forme actuelle, le règlement donne aux États membres la possibilité de ne pas divulguer le code source de l'application dorsale pour des "raisons dûment justifiées, notamment à des fins de sécurité publique". Cela n'empêche pas seulement le contrôle public. Il prive également le public d'un énorme morceau de logiciel, payé par l'argent public, qui - avec une licence ouverte ou gratuite - aurait pu bénéficier au développement d'innombrables autres applications informatiques.

Plans techniques

Six mois après l'adoption de la loi, la Commission devra annoncer les spécifications techniques sur la manière dont le portefeuille est censé fonctionner. C'est pourquoi, au cours des deux dernières années, un groupe de représentants des États membres s'est réuni dans le plus grand secret et sous l'influence de groupes industriels pour préparer cette norme technique. Le document qu'ils ont produit s'appelle "Architecture Reference Framework" (ARF) et a été publié pour la dernière fois en janvier 2023 en tant que version 1.0. La version interne 1.2 la plus récente date de juin 2023 et toutes deux ne pourraient être plus éloignées du texte juridique adopté démocratiquement : Presque toutes les garanties de la législation que nous avons expliquées ici sont absentes de l'ARF. Sans un gros travail, soit le calendrier ne tiendra pas, soit le portefeuille sera accueilli avec méfiance parce qu'il est en infraction avec la loi.

Conclusion

Enfin, il est important de dire que nous aurions souhaité que cette réforme fasse l'objet de plus d'attention. Nous étions la seule organisation de la société civile à travailler sur eIDAS, et nos collègues du monde de la protection des consommateurs, beaucoup plus important, ont dû dé-prioriser ce dossier très tôt. Nous avons travaillé sur cette question complexe et technique pendant plus de deux ans, sans financement ni projet spécifique. En tant que chien de garde, nous sommes guidés par les risques que nous pouvons éviter pour la population et non par la récompense que nous pourrions obtenir ou les permissions que d'autres nous accordent. Nous ne pouvons le faire que parce que nous avons plus d'un millier de membres bienfaiteurs qui financent ce combat pour la liberté grâce à leurs dons récurrents. N'hésitez pas à nous rejoindre !

MISE À JOUR : Le mercredi 8 novembre 2023, les négociateurs se sont réunis pour le dernier trilogue politique et se sont mis d'accord sur le texte qui est à la base de ce billet. Il y aura une dernière réunion technique pour nettoyer le langage, mais des changements substantiels dans le trilogue ne sont pas prévus. Les États membres doivent voter au Conseil de l'UE en décembre 2023 et le Parlement doit voter en commission ITRE le 28 novembre et en février 2024 en séance plénière. Au final, les changements dépendent de la majorité politique. Nous avons basé cette analyse sur le texte final du trilogue politique qui devrait devenir la loi.

Licence internationale Creative Commons Attribution 4.0, "CC BY 4.0epicenter.works"

Sources : epicenter.works, European Digital Rights (EDRi).

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous de ce règlement de l'Union Européenne sur la réforme de l'identité numérique ?

Pensez-vous que les préoccupations soulevées par l'EDRi et l'epicenter.works sont crédibles et pertinentes ?

Voir aussi

La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans, ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF

Mauvaise eIDAS : l'UE se tient prête à intercepter et espionner vos connexions HTTPS dans le cadre d'un énième projet qui signe la fin de la confidentialité des communications numériques en Europe

Dernière chance de corriger eIDAS : la loi secrète de l'Union européenne sur l'identification électronique qui menace la sécurité de l'internet, d'après Mozilla

[OrthodoxWindows]

Dans un régime d'extrême-droite, ou fasciste, tu serais déjà mort de 2 balles dans la nuque.
Qu'est-ce qu'on peut pas lire comme bêtises de la part des boutonneux d'extrême-gauche en France, sur l'extrême-droite, le fascisme.
Néanmoins, la tentation autoritaire de ces fonctionnaires hors-sol est bien là. Mais rien à voir avec l'extrême-droite, le fascisme.

Avec un régime fasciste probablement, avec un régime juste d'extrême-droite pas forcément. Par exemple il y a en ce moment en Israel un régime d'extrême-droite qui fait des massacres dans la bande de Gaza, mais de nombreux Israéliens on pu manifester sans forcément se faire tirer dessus.

Ensuite, il faudrait me lire correctement : je parle d'une dérive d'extrême droite, voir fasciste ; de la même manière qu'un bateau dérive sur le côté, avant de s'écrouler totalement sur le côté (même si il ne dérive pas beaucoup).
Mis à part un état de guerre ou un régime mis en place à cause d'une révolution, on ne se couche pas en démocratie pour se réveiller avec un régime autoritaire, c'est plus long que ça. Mais comme tu dit qu'il y a une tentation autoritaire, je suppose que l'on est relativement d'accord.

Enfin, mon message était semi-ironique, pour moquer les promesses de l'EU de lutter contre les nationalismes d'extrême-droite, alors que c'est désormais elle qui propose des lois anti droits de l'homme.

[ddoumeche]

J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.

[OrthodoxWindows]

J'espère que la NSA aura assez de ressources de calcul pour traiter tout ce scan d'email et de twits, puisque c'est évidemment elle qui le fera pour l'UE.

Déjà que la France met les opposants politiques en examen s'ils ne sont pas dans le cadre, alors un péquin lambda ... C'est cela, le centrisme.

C'était justement le propos plus ou moins ironique de mon message, les parties centristes qui agitent l'épouvantail de l'extrême droite appliquent désormais en partie ce que les gens aurais penser que l’épouvantail en question ferait s'il était au pouvoir...

[Jules34]

Chaque année qui passe je me demande si l'Allemagne a vraiment perdu la guerre. Quel bel empire alliance cette Europe.

[mith06]

Bonne nouvelle l'international communiste. Ca va permettre de mettre les fascistes plus facilement en prison.

[Mathis Lucas]

Le Conseil et le Parlement parviennent à un accord provisoire sur un nouveau cadre pour l'identité numérique européenne (eID)
un projet qui soulève des craintes liées au respect de la vie privée

Le Parlement et le Conseil européens sont parvenus à un accord concernant l'introduction d'un nouveau cadre pour une identité numérique européenne, y compris une réglementation sur les portefeuilles d'identité numérique. Le portefeuille d'identité numérique de l'UE aura de nombreuses applications dans les entreprises publiques et privées, ce qui aidera l'UE à atteindre ses objectifs pour 2030 en matière de numérisation des services publics. Cependant, les législateurs conservateurs et les experts en cybersécurité tirent la sonnette d'alarme sur les préoccupations concernant la sécurité et la protection de la vie privée, évoquant des risques de piratage et d'abus à grande échelle.

Une législation pour la mise en place d'un portefeuille d'identité numérique dans l'UE

Le Parlement européen et la majorité des États membres sont parvenus le 8 novembre à un accord provisoire sur la mise en place de l'identifiant numérique européen (eID), le premier système central d'identification et entièrement numérique pour tous les Européens. Cet accord conclut les travaux des deux organes législatifs qui visent à mettre en œuvre les résultats de l'accord politique provisoire conclu en juin. Ce dernier a pour but de garantir l'accès universel des personnes et des entreprises à une identification et une authentification électroniques sûres et fiables. Il ouvre la voie à la mise en place d'un portefeuille d'identité numérique.

Le nouveau règlement offrira aux citoyens et aux entreprises la possibilité de relier leurs identités numériques nationales à la preuve d'autres attributs personnels tels que les permis de conduire, les diplômes ou les comptes bancaires. En vertu de la nouvelle législation, les États membres offriront aux citoyens et aux entreprises des portefeuilles numériques qui permettront de relier leur identité numérique nationale à la preuve d'autres attributs personnels (permis de conduire, diplômes, etc.). Les citoyens pourront prouver leur identité et partager des documents à partir de leur portefeuille numérique en cliquant sur un bouton de leur téléphone portable.

Le nouveau règlement stipule que les nouveaux portefeuilles d'identité numérique européens permettront à tous les Européens d'accéder à des services en ligne grâce à leur identification numérique nationale, qui sera reconnue dans toute l'Europe, sans avoir à utiliser des méthodes privées d'identification ou à partager inutilement des données personnelles. Le contrôle de l'utilisateur garantit que seules les informations qui doivent être partagées le seront. Les aspects clés sur lesquels les législateurs et le Conseil européens se sont mis d'accord lors de la réunion de la semaine dernière sont les suivants :

• les signatures électroniques : l'utilisation du portefeuille sera gratuite par défaut pour les personnes physiques, mais les États membres peuvent prévoir des mesures pour garantir que l'utilisation gratuite est limitée à des fins non professionnelles ;
• le modèle économique du portefeuille : l'émission, l'utilisation et la révocation seront gratuites pour toutes les personnes physiques ;
• la validation de l'attestation électronique des attributs : les États membres fourniront des mécanismes de validation gratuits uniquement pour vérifier l'authenticité et la validité du portefeuille et de l'identité des parties qui s'y fient ;
• le code des portefeuilles : les composants du logiciel d'application seront libres, mais les États membres disposent de la marge de manœuvre nécessaire pour que, pour des raisons justifiées, des composants spécifiques autres que ceux installés sur les appareils des utilisateurs puissent ne pas être divulgués ;
• la cohérence entre le portefeuille en tant que moyen d'identification électronique et le système sous-jacent dans le cadre duquel il est délivré a été assurée.

Enfin, la réglementation révisée clarifie le champ d'application des certificats d'authentification Web qualifiés (QWAC), ce qui permet aux utilisateurs de vérifier qui se cache derrière un site Web, tout en préservant les règles et normes de sécurité actuelles bien établies dans le secteur. Le Conseil se félicite de l'accord final : « il s'agit d'une avancée essentielle qui permettra à l'UE de devenir une référence mondiale dans le domaine numérique, en protégeant nos droits et nos valeurs démocratiques », a déclaré mercredi Nadia Calvino, ministre espagnole de l'Économie et de la Numérisation, représentant la présidence espagnole du Conseil européen.

Les fonctionnaires de l'UE vont maintenant travailler sur le texte juridique accompagnant l'accord provisoire, qui sera soumis aux représentants des États membres pour approbation. Après un examen juridique, l'accord provisoire devra être formellement adopté par le Parlement et le Conseil avant d'être publié au Journal officiel de l'UE et d'entrer en vigueur. Les États membres devront alors fournir des portefeuilles d'identité numérique de l'UE à leurs citoyens dans un délai de 24 mois. En vertu de la nouvelle législation, les grandes plateformes telles qu'Amazon et Facebook seront également légalement tenues d'accepter le portefeuille d'identité numérique.

La Commission a lancé en avril quatre programmes pilotes à grande échelle pour le portefeuille d'identité numérique, axés sur le permis de conduire mobile, la santé en ligne, les paiements numériques, l'éducation et les qualifications professionnelles, en investissant un total de 46 millions d'euros dans les projets pilotes. Plus de 250 entreprises privées et autorités publiques de 25 États membres, de Norvège, d'Islande et d'Ukraine participent au projet pilote.

Les préoccupations en matière de sécurité liées au portefeuille d'identité numérique

Les fonctionnaires de l'UE ont vanté les divers avantages du portefeuille d'identité numérique, déclaré que les utilisateurs pourront choisir de ne pas partager leurs données personnelles et affirmé qu'il ne sera pas utilisé pour "le suivi illégal, le traçage ou l'interception par le gouvernement". Toutefois, les experts ont exprimé leurs inquiétudes. Des critiques considèrent le portefeuille d'identité numérique de l'UE comme la pierre angulaire d'un futur "État européen de surveillance numérique", qui permettrait à l'UE et à n'importe quel gouvernement de détenir toutes les informations personnelles de ses citoyens et de suivre leurs moindres faits et gestes.

🚨 BREAKING: Very bad news. The European Parliament and Member States just reached an agreement on introducing the Digital Identity, #eID.

Directly afterwards, #EU Commissioner Breton said: "Now that we have a Digital Identity Wallet, we have to put something in it...",… pic.twitter.com/SVC5exas9b

— Rob Roos MEP 🇳🇱 (@Rob_Roos) November 8, 2023

« La plus grande honte de cette réforme est le fait qu'il n'existe absolument aucune garantie empêchant les gouvernements qui fournissent le portefeuille de surveiller tout ce que ses utilisateurs font avec », notent les critiques. Dans une lettre ouverte signée par des organisations de la société civile, des universitaires et des instituts de recherche en juin, les experts ont averti que le portefeuille d'identité pourrait créer un risque sans précédent pour chaque Européen dans sa vie en ligne et hors ligne. « Les négociations actuelles du trilogue ont mal fait la distinction entre les cas d'utilisation légitime et les scénarios frauduleux ou abusifs », écrivent-ils.

Les experts ajoutent : « les fonctions respectueuses de la vie privée ne sont pas privilégiées par rapport aux fonctions intrusives du portefeuille ». L'accord a été conclu quelques jours après que 504 experts en protection de la vie privée et en cybersécurité de 39 pays ont signé une lettre commune mettant fermement en garde contre les pièges de la législation : "elle ne respecte pas le droit à la vie privée et ne sécurise pas les communications en ligne". Selon ces critiques, au lieu de protéger les données personnelles, le texte actuel augmente considérablement le potentiel de nuisance, à la fois par des acteurs malveillants et par des abus gouvernementaux.

Par exemple, les experts ont déclaré que les exigences légales des banques et des compagnies d'assurance en matière de connaissance du client sont mises sur un pied d'égalité avec les modèles commerciaux de surveillance des grandes entreprises technologiques. « Dans sa forme actuelle, le système européen d'identité numérique serait un cadeau offert à Google et Facebook pour porter atteinte à la vie privée des citoyens de l'UE. Cela aura un impact sur tous les citoyens de l'UE et les placera à un niveau de protection de la vie privée inférieur à celui des citoyens d'autres régions du monde. C'est une régression par rapport au RGPD », ont-ils déclaré.

Rob Roos, homme politique néerlandais et membre indépendant du Parlement européen, a qualifié ce dernier accord de "très mauvaise nouvelle". Dans une déclaration sur X, Roos a fait part de ses inquiétudes concernant le lien entre le portefeuille d'identité numérique et les monnaies numériques des banques centrales (MNBC), qui, selon les experts en cybersécurité, présentent des risques importants pour le système financier et la vie privée des consommateurs. Roos a également affirmé que les experts en matière de protection de la vie privée et les spécialistes de la sécurité avaient été "ignorés" au cours des discussions sur le dernier accord provisoire.

« Ils sont en train de tout faire passer. Je ne suis pas optimiste. Toutefois, il n'est pas encore trop tard. Le Parlement doit encore voter à ce sujet. Faites savoir à votre député européen que vous vous opposez à l'identité numérique et que vous voulez qu'il vote contre. Ce dernier développement est une mauvaise nouvelle pour la vie privée et la liberté des Européens », a écrit Roos. Selon les experts, en intégrant l'euro numérique au portefeuille d'identité numérique de l'UE, cela constituerait une véritable menace pour la vie privée des Européens, car cela permettrait à l'UE de suivre, et potentiellement de contrôler, la façon dont ils dépensent leur argent.

Les critiques qui mettent en garde contre le contrôle total des finances personnelles des citoyens par le gouvernement au moyen d'une monnaie programmable estiment depuis longtemps que le portefeuille d'identité numérique de l'UE pourrait être la première étape vers une économie gérée par les MNBC. Juste après l'accord, Thierry Breton, commissaire européen chargé du marché intérieur, aurait abondé dans ce sens en déclarant : « maintenant que nous avons un portefeuille d'identité numérique, nous devons y mettre quelque chose ». Selon l'eurodéputé conservateur Roos, ce qu'il voulait dire, c'est l'euro numérique.

Sources : le Conseil européen, lettre ouverte des experts en cybersécurité (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du portefeuille d'identité numérique de l'UE ?
En quoi cela améliore-t-il la sécurité et la vie privée des Européens en ligne ?
Les avantages du portefeuille d'identité numérique l'emportent-ils sur les inconvénients ?
Quels sont les risques liés à l'intégration de l'euro numérique au portefeuille d'identité numérique ?
Les Big Tech accepteront-ils d'utiliser le portefeuille d'identité numérique de l'UE ? En quoi cela les avantage-t-il ?
Le portefeuille d'identité numérique est-il une régression par rapport au règlement général sur la protection des données de l'UE ?
Les appels à boycotter le portefeuille d'identité numérique de l'UE seront-ils entendus ? Les Européens ont-ils la possibilité de faire plier l'UE ?

Voir aussi

Réforme de l'identité numérique dans l'UE : Le Bon, la Brute et le Truand dans le règlement eIDAS, d'après epicenter.works, European Digital Rights (EDRi)

La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans, ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF

Mauvaise eIDAS : l'UE se tient prête à intercepter et espionner vos connexions HTTPS dans le cadre d'un énième projet qui signe la fin de la confidentialité des communications numériques en Europe

[Jade Emy]

Abus sexuels d'enfants en ligne : des mesures efficaces, pas de surveillance de masse, la Commission européenne des libertés civiles a adopté sa position sur de nouvelles mesures.

La Commission des libertés civiles a adopté sa position sur les nouvelles mesures visant à protéger les enfants en ligne en prévenant et en arrêtant les abus sexuels sur les enfants. Les lignes directrices sont : équilibre entre la nécessité de lutter contre les abus sexuels des enfants en ligne et celle d'éviter une surveillance généralisée de l'internet, les plateformes doivent évaluer les risques liés à leurs services. Si les mesures d'atténuation ne suffisent pas, des ordonnances de détection validées par les tribunaux pourront être utilisées pour repérer les contenus illégaux. Le Parlement souhaite exclure de la détection les contenus chiffrés de bout en bout.

Le projet de position du Parlement a été adopté par la Commission des libertés civiles, de la justice et des affaires intérieures par 51 voix pour, 2 contre et 1 abstention. Les négociations interinstitutionnelles ont été autorisées avec 48 voix pour, 2 contre et 4 abstentions.

Pour protéger les enfants en ligne, les nouvelles règles obligeraient les fournisseurs d'accès à Internet à évaluer s'il existe un risque significatif que leurs services soient utilisés à des fins d'abus sexuels en ligne sur des enfants et de sollicitation d'enfants, et à prendre des mesures pour atténuer ces risques. Les députés souhaitent que les mesures d'atténuation soient ciblées, proportionnées et efficaces, et que les fournisseurs puissent décider des mesures à utiliser. Ils veulent également s'assurer que les sites pornographiques disposent de systèmes adéquats de vérification de l'âge, de mécanismes de signalement des contenus pédopornographiques et d'une modération du contenu humain pour traiter ces signalements.

Pour éviter que les mineurs ne soient sollicités en ligne, les députés proposent que les services destinés aux enfants exigent par défaut le consentement de l'utilisateur pour les messages non sollicités, qu'ils disposent d'options de blocage et de sourdine et qu'ils renforcent le contrôle parental.

Ordres de détection

Afin d'éviter une surveillance de masse ou un contrôle généralisé de l'internet, le projet de loi permettrait aux autorités judiciaires d'autoriser des ordonnances limitées dans le temps, en dernier recours, pour détecter tout CSAM et le retirer ou en désactiver l'accès, lorsque les mesures d'atténuation ne sont pas efficaces pour le retirer.

En outre, les députés soulignent la nécessité de cibler les ordonnances de détection sur des individus ou des groupes (y compris les abonnés à une chaîne) liés à l'abus sexuel des enfants, en utilisant des "motifs raisonnables de suspicion".

Dans le texte adopté, les députés ont exclu le chiffrement de bout en bout du champ d'application des injonctions de détection afin de garantir la sécurité et la confidentialité des communications de tous les utilisateurs. Les fournisseurs seraient en mesure de choisir les technologies à utiliser, à condition qu'elles respectent les garanties solides prévues par la loi, et sous réserve d'un audit public indépendant de ces technologies.

Centre européen de protection de l'enfance

La loi prévoit la création d'un centre européen de protection de l'enfance, chargé de contribuer à la mise en œuvre des nouvelles règles et d'aider les fournisseurs d'accès à Internet à détecter les messages publicitaires non sollicités. Il collecterait, filtrerait et distribuerait les signalements de ce type aux autorités nationales compétentes et à Europol. Le Centre développerait des technologies de détection pour les fournisseurs et tiendrait à jour une base de données de hachages et d'autres indicateurs techniques de MCS identifiés par les autorités nationales.

Le Centre soutiendrait également les autorités nationales dans l'application du nouveau règlement sur les abus sexuels sur les enfants, mènerait des enquêtes et imposerait des amendes pouvant aller jusqu'à 6 % du chiffre d'affaires mondial en cas de non-respect du règlement.

Enfin, les députés proposent de créer un nouveau forum consultatif sur les droits des victimes et des survivants afin de s'assurer que la voix des victimes soit entendue.

Le rapporteur Javier Zarzalejos (PPE, Espagne) a déclaré : "Pour relever efficacement ce défi impérieux, nous avons trouvé un compromis juridiquement solide, soutenu par tous les groupes politiques. Il créera des règles uniformes pour lutter contre l'abus sexuel des enfants en ligne, ce qui signifie que tous les fournisseurs devront évaluer s'il existe un risque d'abus dans leurs services et l'atténuer par des mesures sur mesure. En dernier recours, des ordonnances de détection pourront être utilisées pour retirer les contenus abusifs qui circulent encore sur l'internet. Cet accord établit un équilibre entre la protection des enfants et la protection de la vie privée."

Prochaines étapes

Le projet de position du Parlement doit encore être approuvé par la plénière. Le 20 novembre, le début des négociations sera annoncé et les députés auront jusqu'à la fin du jour suivant pour s'y opposer. Si un nombre suffisant d'entre eux choisissent de le faire, il y aura un vote au cours de la même session.

Tuta : une victoire de la vie privée

Tuta, anciennement Tutanota, a donné son avis sur cette décision du Parlement européen. Pour eux, la volonté du Parlement européen de supprimer le contrôle des chats et de préserver le chiffrement sécurisé est un accord historique et une victoire pour la vie privée.

Le contrôle du chat - l'un des pires projets de l'Union européenne, également décrit comme un monstre de surveillance - doit être stoppé. Le Parlement européen vient de décider de le faire ! Dans le cadre d'un accord historique sur le règlement de la Commission européenne relatif aux abus sexuels commis sur des enfants (RAEP), le Parlement européen souhaite supprimer les exigences en matière de contrôle du chat et garantir un chiffrement sécurisé. Cette décision a été prise à la suite d'une levée de boucliers contre la proposition initiale de la part d'experts en technologie et en sécurité, de scientifiques internationaux et de citoyens de toute l'Europe. C'est une grande victoire pour notre droit à la vie privée et pour le maintien de nos valeurs démocratiques en Europe, mais le combat continue !

Le Parlement européen s'est prononcé en faveur d'une version alternative du contrôle du chat, qui, heureusement, ne mérite plus ce nom : Après une opposition massive aux méthodes de surveillance incluses dans le règlement CSA, le Parlement européen a décidé de défendre le droit à la vie privée de chaque citoyen et a souligné l'importance de préserver nos valeurs démocratiques. L'Europe ne doit pas suivre des régimes autocratiques comme la Chine et la Russie en surveillant tous ses citoyens.

Patrick Breyer, membre du Parlement européen et participant aux négociations sur le RAEP, a déclaré :

"Sous l'impression de protestations massives contre l'imminence d'un contrôle aveugle des chats par balayage de masse des messages privés, nous avons réussi à gagner une large majorité en faveur d'une approche différente et nouvelle de la protection des jeunes contre les abus et l'exploitation en ligne. En tant que pirate et combattant de la liberté numérique, je suis fier de cette avancée. Les gagnants de cet accord sont d'une part nos enfants, qui seront protégés de manière beaucoup plus efficace et à l'abri des poursuites judiciaires, et d'autre part tous les citoyens, dont la confidentialité de la correspondance numérique et la sécurité des communications seront garanties.

"Même si ce compromis, soutenu par les progressistes et les conservateurs, n'est pas parfait sur tous les points, c'est un succès historique que la suppression du contrôle du chat et le rétablissement d'un chiffrement sécurisé soient l'objectif commun de l'ensemble du Parlement. Nous faisons exactement le contraire de la plupart des gouvernements de l'UE qui veulent détruire la confidentialité numérique de la correspondance et le chiffrement sécurisé. Les gouvernements doivent enfin accepter que ce projet de loi extrêmement dangereux ne peut qu'être fondamentalement modifié ou ne pas être adopté du tout. La lutte contre le contrôle autoritaire du chat doit être poursuivie avec toute la détermination nécessaire !

Qu'a décidé le Parlement européen ?

Breyer écrit sur son site web que les services et les applications Internet doivent être "sécurisés dès leur conception et par défaut". Le Parlement européen a décidé de :

"préserver le secret numérique de la correspondance et supprimer les projets de contrôle généralisé des chats, qui violent les droits fondamentaux et n'ont aucune chance devant les tribunaux. Le contrôle volontaire actuel des messages privés (et non des réseaux sociaux) par les entreprises américaines de l'internet est en train d'être supprimé. La surveillance ciblée des télécommunications et les perquisitions ne seront autorisées que sur la base d'un mandat judiciaire et limitées aux personnes ou groupes de personnes soupçonnés d'être liés à des contenus pédopornographiques."

Le Parlement européen a également décidé d'"exclure clairement le balayage côté client", ce qui constitue une grande victoire pour nos droits à la vie privée.

Contrairement à la proposition initiale de contrôle du chat, la version du Parlement européen souhaite qu'un nouveau centre européen de protection de l'enfance recherche de manière proactive des contenus pédopornographiques dans les parties de l'internet accessibles au public, par le biais d'une exploration automatique, ce qui peut également avoir lieu dans le darknet et serait beaucoup plus efficace que les mesures de surveillance privée prises par les fournisseurs d'accès. Les contenus abusifs découverts doivent être signalés et retirés par le fournisseur.


Le combat n'est pas terminé

Bien que la décision du Parlement européen soit une grande victoire, le combat n'est pas terminé. On s'attend à ce que la Commission européenne continue à faire pression en faveur de mesures de contrôle du chat de surveillance générale. Il est temps pour chacun d'entre nous de se joindre à ce combat !


L'opposition au contrôle du chat

Le contrôle des chats fait l'objet de discussions depuis un certain temps déjà, et les critiques à l'encontre de ce projet de loi sont nombreuses. Les experts en technologie et en sécurité ne sont pas les seuls à s'accorder sur le fait que l'analyse côté client n'est pas possible sans mettre en péril la sécurité de tous. Les scientifiques, le grand public et même le service de recherche de l'UE s'opposent également à la proposition de la Commission européenne en matière de contrôle du chat.


Lettre des scientifiques au Parlement européen

300 scientifiques du monde entier ont envoyé une lettre ouverte au Parlement européen pour demander aux décideurs politiques de mettre un terme au contrôle du chat, la proposition de règlement de l'UE sur les abus sexuels envers les enfants. Selon eux, s'il incombe aux responsables politiques de protéger les enfants contre les abus sexuels, "notre recommandation professionnelle, en tant que scientifiques, est de ne pas donner suite à cette proposition", car les techniques d'analyse que l'UE propose d'utiliser sont profondément erronées et mettraient en péril la sécurité de tous ceux qui utilisent l'internet.

Les scientifiques font passer la proposition de l'UE pour un vœu pieux : "Compte tenu de la nature horrible des abus sexuels commis sur des enfants, il est compréhensible, voire tentant, d'espérer qu'une intervention technologique puisse les éradiquer. Pourtant, si l'on considère la question dans sa globalité, on ne peut échapper à la conclusion que la proposition actuelle n'est pas une telle intervention."

Il n'existe pas de clé magique qui permette à la police d'analyser tous les messages de discussion, les courriels et autres pour y déceler des contenus préjudiciables, sans mettre en péril la sécurité et la vie privée de chacun. C'est techniquement impossible.

Les scientifiques affirment que le contrôle des chats représente une trop grande menace pour tout le monde et qu'il faut donc y mettre un terme :

"Avant tout, nous reconnaissons que l'abus et l'exploitation sexuels des enfants est un crime très grave qui peut causer des dommages à vie aux survivants. Il incombe aux autorités gouvernementales, avec le soutien des entreprises et des communautés, d'entreprendre des interventions efficaces pour prévenir ce crime et réagir rapidement lorsqu'il se produit.

"La Commission européenne a proposé une loi dont l'objectif déclaré est de mettre un terme à la diffusion en ligne de matériel pédopornographique et à la sollicitation d'enfants en ligne (grooming). Pour ce faire, la loi permet aux autorités d'obliger les fournisseurs d'applications ou d'autres services en ligne à analyser les messages, les images, les courriels, les messages vocaux et les autres activités de leurs utilisateurs. Dans le cas des applications chiffrées de bout en bout, l'argument avancé est que cette analyse peut être effectuée sur les appareils des utilisateurs - ce que l'on appelle l'"analyse côté client" (CSS)".

"L'adoption de cette législation porte atteinte au travail réfléchi et incisif que les chercheurs européens ont fourni dans le domaine de la cybersécurité et de la protection de la vie privée, notamment en contribuant à l'élaboration de normes mondiales en matière de chiffrement. Une telle remise en cause affaiblira l'environnement des travaux sur la sécurité et la vie privée en Europe, réduisant ainsi notre capacité à construire une société numérique sûre".

"Le règlement proposé créerait également un précédent mondial en matière de filtrage de l'internet, de contrôle de l'accès à l'internet et de suppression de certains des rares outils dont disposent les citoyens pour protéger leur droit à une vie privée dans l'espace numérique. Cela aura un effet dissuasif sur la société et risque d'avoir un impact négatif sur les démocraties du monde entier".

"Nous mettons donc fortement en garde contre la poursuite de ces mesures ou de mesures similaires, car leur succès n'est pas possible compte tenu de la technologie actuelle et prévisible, alors que leur potentiel de nuisance est substantiel."

Le service de recherche de l'UE s'oppose au contrôle des chats

En avril, le service de recherche du Parlement européen (EPRS) a présenté une nouvelle étude sur la légalité de la proposition de règlement sur les abus sexuels envers les enfants, également appelé "Chat Control ou Control du chat".

Selon cette analyse, les projets de la Commission européenne pour lutter contre les images d'enfants abusés sur Internet ne sont pas très efficaces et violent les droits fondamentaux des utilisateurs d'Internet. Si le nombre de cas signalés est susceptible d'augmenter de manière significative, la précision des résultats obtenus est également susceptible de diminuer de manière significative, ce qui accroît la charge de travail des autorités chargées des enquêtes.


Conséquences du projet de loi de l'UE

Les experts juridiques du service scientifique du Parlement européen concluent que :

"en pesant les droits fondamentaux affectés par les mesures de la proposition du CSA, il peut être établi que la proposition du CSA violerait les articles 7 et 8 de la Charte des droits fondamentaux en ce qui concerne les utilisateurs".

Le rapport indique également que si le contrôle du chat devient une loi, "cette violation de l'interdiction de la conservation générale des données et de l'interdiction des obligations générales de surveillance ne peut être justifiée".

"Un ordre de détection du contenu des données interpersonnelles, que ce soit sur l'appareil ou sur le serveur, compromettra l'essence du droit à la vie privée en vertu de l'article 7 du CFR sous la forme de la confidentialité des télécommunications. Il s'agit d'une forme d'accès généralisé, conformément à l'arrêt Schrems, qui implique une analyse de toutes les communications passant par le serveur.

Les experts ont précisé qu'une "augmentation du nombre de contenus signalés ne conduit pas nécessairement à une augmentation correspondante des enquêtes et des poursuites permettant une meilleure protection des enfants. Tant que la capacité des organismes chargés de l'application de la loi est limitée à sa taille actuelle, une augmentation du nombre de signalements rendra plus difficile l'engagement de poursuites efficaces contre les représentations d'abus".

En outre, l'étude sur le contrôle des chats conclut : "Il est incontestable que les enfants doivent être protégés contre les abus et les représentations d'abus en ligne... mais ils doivent aussi pouvoir bénéficier de la protection des droits fondamentaux comme base de leur développement et de leur transition vers l'âge adulte."

L'eurodéputé du Parti des pirates, Patrick Breyer, opposant de longue date à la numérisation de masse des communications privées, commente :

"Le service scientifique du Parlement européen confirme aujourd'hui en termes clairs ce que moi-même et de nombreux militants des droits de l'homme, responsables de l'application de la loi, experts juridiques, victimes d'abus et organisations de protection de l'enfance avons mis en garde depuis longtemps : le projet de balayage général et indiscriminé de nos conversations privées et de nos photos détruit la confidentialité numérique de la correspondance et viole nos droits fondamentaux. Une avalanche de rapports d'activité suspects, pour la plupart faux, rendrait les enquêtes efficaces plus difficiles, criminaliserait les enfants en masse et ne permettrait pas de traduire en justice les auteurs d'abus et les producteurs de ce type de matériel. Selon cette expertise, la recherche dans les communications privées de matériel d'exploitation sexuelle des enfants, connu ou inconnu, n'est légalement possible que si les dispositions relatives à la recherche sont ciblées et limitées aux personnes présumées impliquées dans ce type d'activité criminelle".

"Ce dont nous avons réellement besoin, au lieu d'un contrôle non ciblé des chats et d'obligations d'identification pour la vérification de l'âge, c'est d'obliger les services répressifs à retirer de l'internet le matériel d'exploitation connu, ainsi que de normes européennes pour des mesures de prévention efficaces, l'aide et le conseil aux victimes, et pour des enquêtes criminelles efficaces."

C'est également l'avis de nombreux autres experts, tels que Mullvad, Edri et d'autres.


Arrêter le contrôle du chat : la campagne de Mullvad est un véritable succès !

Le contrôle du chat est l'un des pires projets de l'UE à ce jour et doit être stoppé. Mullvad VPN a récemment lancé une grande campagne pour lutter pour la démocratie.

La campagne de Mullvad, lancée le 3 mars, appelle les décideurs politiques de l'UE à mettre fin au contrôle du chat et à repenser leur position par rapport à la proposition de la Commission européenne visant à détecter et à poursuivre le partage de matériel pédopornographique (CSAM) sur Internet. La proposition de l'UE comprend des mesures de surveillance de grande envergure, telles que l'analyse côté client, qui obligerait les services en ligne à analyser chaque message de chat et chaque courriel envoyé par un citoyen de l'Union européenne afin d'y déceler du matériel pédopornographique.

Cette législation priverait de facto les citoyens de l'UE de toute vie privée sur Internet, elle saperait même le chiffrement et affaiblirait ainsi la sécurité de tous les utilisateurs d'Internet.

C'est la raison pour laquelle le projet de l'UE de scanner les messages à caractère pédopornographique est fortement critiqué par les experts en chiffrement, les organisations de défense des droits de l'homme et les activistes de l'internet dans toute l'Europe.

Tout récemment, l'Allemagne a rendu publique son opposition à l'analyse côté client. Avec la résistance de l'Allemagne, de l'Irlande, de l'Autriche et des Pays-Bas à la proposition de l'UE, une minorité de blocage est à portée de main.


Un timing parfait

Mullvad ajoute à la pression avec sa nouvelle campagne, qui a été lancée pendant la présidence suédoise de l'UE, qui a débuté le 1er janvier 2023. Le moment ne pouvait donc pas être mieux choisi.

Mullvad déclare sur sa page de campagne :

L'heure est au débat et à l'action

Une société démocratique se construit sur des discussions, avant que les propositions de loi ne deviennent réalité. Nous avons entamé la conversation dans les rues de Suède, pendant la présidence suédoise de l'Union européenne.

Parallèlement à la campagne numérique, de grands panneaux d'affichage ont été installés dans toute la Suède pour attirer l'attention sur le débat juridique en cours au niveau de l'UE.


Opposition au contrôle du chat

L'organisation de défense des droits numériques EDRi a récemment lancé la campagne "Stop Scanning Me", dans le cadre de laquelle les citoyens européens peuvent signer une pétition contre le plan de surveillance de l'UE.


Qu'est-ce que le contrôle des chats ?

La proposition de l'Union européenne sur le contrôle des chats veut obliger les services en ligne à analyser chaque message et chaque courriel à l'aide d'une IA pour y déceler d'éventuels contenus (connus ou inconnus) relatifs à la sollicitation d'enfants et aux abus sexuels sur les enfants. Les messages suspects signalés par l'IA seront signalés aux services de police et feront l'objet d'une enquête.

La recherche automatique de matériel de pédopornographie et d'abus sexuels est une procédure qui s'appuie sur l'intelligence artificielle (IA). L'IA n'est pas sans faille et signalera un grand nombre d'images inoffensives et privées, qui feront ensuite l'objet d'une enquête par la police. Les experts s'attendent à ce que 10 à 20 % des images signalées soient des faux positifs.

Il s'agit d'une énorme intrusion dans la vie privée de millions de citoyens innocents.

Le contrôleur européen de la protection des données, Wiewiórowski, parle d'une "illusion de légalité" : Ce type de balayage aveugle des communications privées "sera toujours illégal en vertu de la Charte des droits fondamentaux (et probablement aussi en vertu de plusieurs lois constitutionnelles nationales)".


Les risques du contrôle des chats

Pour beaucoup, les risques du contrôle des chats sont négligeables. Après tout, en tant que citoyens respectueux des lois, qu'y a-t-il à craindre ?

Mais la vérité est tout autre : Les risques d'un outil de surveillance tel que le contrôle du chat sont illimités.

1. Vous ne savez pas si les lois vont changer.

Jan Penfrat l'a parfaitement dit sur Mastodon :

"Vous n'avez rien à cacher jusqu'à ce que le gouvernement déclare soudainement votre comportement illégal."

Le texte de l'image qu'il a postée est tiré d'une information diffusée par Business Insider : "La police poursuit les demandeurs d'avortement en utilisant leurs données numériques - et Facebook et Google l'aident à le faire".

2. Un chiffrement compromis n'est pas un chiffrement

Une fois que le chiffrement est rompu pour permettre l'accès aux "bons", la sécurité et la protection de la vie privée promises par le chiffrement disparaissent.

Il n'est tout simplement pas possible de mettre en place une porte dérobée de chiffrement qui ne puisse être utilisée que par les forces de l'ordre.

Les meilleurs échecs de portes dérobées de l'histoire l'illustrent d'ailleurs très bien. La vérité, c'est que Les services secrets ont déjà tenté de saper le chiffrement, mais chaque fois qu'ils ont réussi, d'autres l'ont fait aussi. Les intrus malveillants sont devenus très puissants.

En Europe, nous ne devons pas affaiblir l'épine dorsale de la sécurité dont dépend notre vie numérique : le chiffrement.


Arrêtons l'analyse côté client

En tant que citoyens européens et membres de la société civile, nous devons maintenant faire pression sur les législateurs pour qu'ils s'opposent à une législation qui placerait chaque courriel et chaque message de chat que nous envoyons sous surveillance constante.

Ensemble, nous pouvons mettre fin au contrôle des chats !

Sources : Parlement européen, Tuta

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans, ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF

Le Conseil et le Parlement parviennent à un accord provisoire sur un nouveau cadre pour l'identité numérique européenne (eID), un projet qui soulève des craintes liées au respect de la vie privée

Victoire de la vie privée : Le contrôle du Chat a été reporté pour la deuxième fois ! Voici pourquoi les plans de balayage CSAM de l'UE doivent échouer, d'après Tutanota

[Stéphane le calme]

Le portefeuille d'identité numérique censé émanciper l'UE s'appuie sur des acteurs de la Silicon Valley :
comment l'implémentation allemande d'eIDAS 2.0 confie sa cryptographie à Google et Apple sans en connaître le contenu

L'Union européenne ambitionne de doter chaque citoyen d'un portefeuille d'identité numérique souverain d'ici fin 2026. Mais les documents architecturaux publiés par le ministère fédéral allemand de l'Intérieur (BMI) révèlent une réalité technique bien moins flatteuse : le portefeuille allemand repose, dans son implémentation actuelle, sur les mécanismes d'attestation propriétaires de Google et Apple, deux entreprises américaines dont les décisions unilatérales pourraient, demain, couper un citoyen de son identité régalienne.

Le règlement (UE) 2024/1183, communément appelé eIDAS 2.0, est entré en vigueur le 20 mai 2024 et transformera fondamentalement la façon dont les Européens créent et utilisent les identités numériques. D'ici fin 2026, chaque citoyen de l'UE devrait avoir accès à un portefeuille européen d'identité numérique sur son smartphone, capable de créer des signatures électroniques qualifiées. Le projet est ambitieux : les 27 États membres doivent proposer un portefeuille d'identité numérique à leurs citoyens, interopérable dans toute l'Union d'ici fin 2026. Celui-ci doit permettre de stocker des attributs vérifiés (allant de l'identité aux diplômes, en passant par le permis ou les certificats de naissance) et de les partager dans des contextes précis, sécurisés et conformes au RGPD.

D'ici 2030, l'Union européenne vise à ce que 80 % des citoyens disposent d'un portefeuille d'identité numérique, soit environ 360 millions de personnes. Cette ambition s'inscrit dans un contexte de prolifération de l'IA générative, qui facilite la falsification de documents et rend l'authentification forte plus nécessaire que jamais.

La rhétorique institutionnelle est explicite. Les Européens auront, selon la vice-présidente de la Commission Věra Jourová, « la maîtrise de leurs données personnelles et pourront les partager facilement depuis une application sur leur téléphone ». Mais entre la déclaration politique et l'implémentation technique, il existe un gouffre que les documents architecturaux allemands, publiés en open source sur la forge OpenCoDE du BMI, commencent à révéler.

Ce que dit réellement la documentation technique allemande

Le document en question porte sur le Mobile Device Vulnerability Management Concept (MDVM), soit le volet de l'architecture consacré à la gestion des vulnérabilités des terminaux mobiles. Sa lecture est instructive et pour le moins dérangeante.

L'objectif du MDVM est de surveiller les vulnérabilités identifiées pour le stockage des clés cryptographiques (HKS) et le système d'exploitation des appareils des utilisateurs, afin de réduire la probabilité que des vulnérabilités connues puissent être exploitées. Si des vulnérabilités compromettant le mécanisme d'authentification de l'utilisateur sont identifiées, l'utilisation des clés sécurisées par le composant distant est bloquée.

Pour accomplir cette mission (vérifier l'intégrité du terminal et de l'application), le ministère allemand s'appuie exclusivement sur deux mécanismes : Android Play Integrity de Google et DCDeviceCheck/AppAttest d'Apple. En pratique, cela signifie que l'application de portefeuille numérique allemand ne fonctionnera, en l'état actuel des spécifications, que sur des appareils certifiés par l'un ou l'autre de ces deux géants américains.

Le tableau des signaux Android est particulièrement révélateur. Le signal deviceIntegrity.deviceRecognitionVerdict de Play Integrity, qui décrit le niveau de confiance d'un appareil, inclut notamment un « verdict propriétaire de Google sur les appareils compromis (nous ne savons pas ce que Google effectue réellement dans son backend) ». La documentation précise également que MEETS_STRONG_INTEGRITY inclut l'exigence que l'appareil ait reçu un correctif de sécurité dans les 12 derniers mois.

Ce dernier point mérite qu'on s'y arrête : les millions d'appareils Android encore fonctionnels mais ne recevant plus de mises à jour de sécurité, une réalité quotidienne pour de nombreux utilisateurs à revenus modestes, seraient mécaniquement exclus du portefeuille d'identité européen.

Une dépendance en trompe-l'œil : l'attestation n'exige pas formellement un compte Google

Il convient ici d'apporter une nuance importante que la discussion technique sur Hacker News met en lumière. Le titre « l'implémentation allemande d'eIDAS nécessitera un compte Apple/Google pour fonctionner » est techniquement discutable et c'est là que réside la subtilité du problème.

Un expert ayant travaillé plusieurs mois sur ce type de système précise que « pour Apple, un compte n'est pas nécessaire », mais que Play Integrity peut être configuré de façon à exiger que l'application ait été installée depuis le Play Store, ce qui implique indirectement un compte Google.

Plus fondamentalement, la vraie question n'est pas celle du compte utilisateur, mais celle du contrôle de l'infrastructure. Un implémenteur allemand ayant participé aux échanges sur Hacker News reconnaît que la dépendance initiale à Google/Android n'est pas idéale, tout en précisant que le support d'autres systèmes d'exploitation (dont GrapheneOS) figure sur la liste des priorités, mais que l'équipe concentre pour l'instant ses efforts ailleurs.

Ce qui est déjà préoccupant : le même document classe explicitement parmi les menaces les « images système inconnues (par exemple, ROM personnalisée) », les appareils rootés, les bootloaders déverrouillés. En d'autres termes, toute déviation par rapport à un écosystème Apple ou Google certifié est considérée comme un vecteur de risque à neutraliser, non comme un exercice légitime de la souveraineté sur son propre terminal.

Le paradoxe de la souveraineté numérique européenne

Le portefeuille repose sur les composants de sécurité des smartphones contrôlés par des firmes américaines (Apple et Google) et chinoises, posant un défi de souveraineté technologique. L'identité régalienne de demain dépendra donc, en dernier ressort, de la bonne volonté d'Apple et Google à ouvrir leurs composants sécurisés.

La tension est profonde et systémique. L'Europe construit un projet dont l'ambition est précisément de réduire la dépendance aux intermédiaires privés pour l'identification en ligne, mais elle confie à deux entreprises privées américaines la vérification de l'intégrité des terminaux sur lesquels reposera cette identification. C'est un renversement complet de la logique de souveraineté affichée.

Les commentateurs techniques soulèvent un scénario concret et inquiétant : que se passe-t-il si un citoyen perd son compte Google, que ce soit à la suite d'une suspension automatisée pour comportement jugé suspect, d'un bannissement de compte lié à une transaction dans une devise étrangère, ou d'un incident banal ? Dans ce cas, l'accès à son portefeuille d'identité numérique, donc potentiellement à ses services bancaires, administratifs, de santé, serait compromis. Un processus automatisé d'une entreprise privée américaine pourrait ainsi exclure un citoyen européen de la vie numérique sans recours, sans procédure, sans transparence.

La question prend une dimension géopolitique particulièrement sensible dans le contexte actuel. Des commentateurs rappellent que des juges de la Cour pénale internationale ont déjà fait l'objet de sanctions américaines, et que si l'on imagine ce mécanisme appliqué à une identité numérique européenne dépendante d'une infrastructure américaine, les implications sont vertigineuses.

Des alternatives techniques existent, mais elles sont délibérément écartées

La critique la plus sévère adressée à l'implémentation allemande est précisément qu'elle n'est pas la seule option disponible et que les spécifications eIDAS 2.0 elles-mêmes n'imposent pas le recours à Play Integrity ou AppAttest.

Plusieurs développeurs signalent sur le dépôt GitHub de référence que la dépendance à Google persiste malgré des demandes de suppression réitérées, sans que les mainteneurs ne fournissent de justification technique convaincante. L'un d'eux note sobrement : « S'il y a persistance sans raison apparente, c'est qu'il y a une raison. »

Les alternatives ne manquent pas. L'Android Hardware Attestation API, qui permet l'attestation directe au niveau matériel sans passer par les serveurs de Google, permettrait de soutenir GrapheneOS et d'autres systèmes alternatifs. Les cartes à puce au standard ISO/IEC 7816, utilisées depuis près de quatre décennies dans le secteur bancaire, offrent une racine de confiance matérielle indépendante de tout système d'exploitation. Les YubiKey et autres tokens FIDO2 constituent également des alternatives éprouvées. L'Autriche, par exemple, a mis en place un système d'authentification numérique qui fonctionne sur PC avec un simple token FIDO2, sans dépendance à un compte d'entreprise américaine.

La documentation technique elle-même admet une limite fondamentale concernant iOS : Apple ne fournit aucune information attestée par le matériel sur le modèle d'appareil ni sur la version ou le niveau de correctif du système d'exploitation, ces informations doivent être récupérées depuis l'OS une fois qu'on s'est assuré que l'appareil n'a pas été modifié. La circularité du raisonnement est évidente.

Obsolescence programmée par réglementation

Un autre effet collatéral potentiellement dévastateur de cette architecture mérite d'être souligné. L'exigence MEETS_STRONG_INTEGRITY inclut la condition que l'appareil ait reçu un correctif de sécurité dans les 12 derniers mois. Cette disposition, présentée comme une mesure de sécurité raisonnable, codifie en réalité l'obsolescence programmée dans le droit d'accès aux services publics numériques.

Les fabricants d'appareils Android ont des politiques de mise à jour très hétérogènes. Les terminaux bas de gamme, ceux précisément utilisés par les populations les plus vulnérables économiquement, cessent souvent de recevoir des mises à jour de sécurité au bout de deux à trois ans. Ces utilisateurs se trouveraient donc, de facto, exclus d'un service que les États membres ont l'obligation légale de rendre universel.

Ce que cela révèle de la gouvernance technologique européenne

L'expérience d'eIDAS 1 a montré qu'un cadre juridique ambitieux ne peut rien contre une adoption marginale, et qu'une mise en œuvre fragmentée affaiblit l'ambition européenne. Le risque avec eIDAS 2.0 est d'un ordre différent : non plus la fragmentation, mais la centralisation (non pas entre les mains d'États membres, mais entre celles de deux entreprises privées dont le siège social est en Californie).

Un participant au débat formule le problème de façon tranchante : un gouvernement devrait publier des standards ouverts permettant à quiconque implémentant ces standards d'interagir avec le système, pas exiger l'utilisation d'un vendeur ou d'un ensemble de vendeurs spécifiques. Quand quelque chose est requis par la loi, il doit fonctionner pour tous les citoyens.

C'est exactement la logique inverse qui semble à l'œuvre dans l'implémentation allemande : partir des mécanismes existants des duopoles d'appareils mobiles parce qu'ils sont là, parce qu'ils sont pratiques, parce qu'ils sont déjà adoptés et construire par-dessus une architecture d'identité souveraine qui ne l'est, en réalité, pas du tout.

L'ironie est vertigineuse : à l'heure où l'Europe cherche à réduire ses dépendances technologiques vis-à-vis des États-Unis, et où plusieurs États membres accélèrent leurs stratégies de souveraineté numérique en réaction aux turbulences géopolitiques de 2025, le portefeuille d'identité censé incarner cette indépendance confie ses fondations cryptographiques à des serveurs californiens dont le contenu des opérations est, de l'aveu même de la documentation officielle allemande, opaque : « nous ne savons pas ce que Google effectue réellement dans son backend ».

Sources : Architecture Documentation of German National EUDI Wallet, Commission européenne

Et vous ?

Un État devrait-il avoir le droit de déléguer la vérification de l'intégrité de son système d'identité nationale à une entreprise privée étrangère ? Où commence et où s'arrête la souveraineté régalienne à l'ère des systèmes d'exploitation propriétaires ?

L'exigence d'un correctif de sécurité datant de moins de 12 mois est-elle une mesure de sécurité légitime ou une forme de discrimination socio-économique déguisée en politique de cybersécurité ?

Le modèle de confiance basé sur l'attestation matérielle (TPM, Secure Enclave) est-il fondamentalement incompatible avec la liberté de modifier son propre appareil ? Ou peut-on concevoir un système d'identité haute-assurance qui ne soit pas au bénéfice des fabricants d'OS ?

Si Google suspend le compte d'un citoyen européen demain, qui est responsable de la perte d'accès à ses services publics numériques : Google, l'État membre, ou la Commission européenne qui a validé ce modèle ?

Voir aussi :

La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans, ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF

Le Conseil et le Parlement parviennent à un accord provisoire sur un nouveau cadre pour l'identité numérique européenne (eID), un projet qui soulève des craintes liées au respect de la vie privée