L’arrivée d’un portefeuille d’identité numérique en Europe pose de nombreuses questions de sécurité vis-à-vis de la réforme eIDAS.
Un portefeuille européen d'identité numérique qui fait débat
Cartes d'identité, mots de passe et tous les paiements regroupés en une seule application. C'est ce que l'on appelle le « portefeuille européen d'identité numérique ». Un système unifié que l'Union européenne veut créer comme alternative aux outils que proposent les grandes entreprises technologiques comme Google, Apple ou Meta. Dans les faits, les utilisateurs pourront par ce biais prouver leur identité et partager des documents électroniques depuis leur téléphone portable. Ce nouveau système doit s'appuyer sur les solutions nationales déjà existantes en les rendant interopérables.
We did it! #Deal🤝
— Thierry Breton (@ThierryBreton) November 8, 2023
With the European Digital Identity wallet, all 🇪🇺 citizens will be able to have a secured e-identity for their lifetime.
The wallet has the highest level of both security & privacy.
Giant step & a world premiere ! 👏 to my teams and both colegislators.#eID pic.twitter.com/LLylTyqKdq
Pour le mettre en œuvre, l’UE travaille sur le nouveau règlement eIDAS qui propose la création de certificats spécifiques. Et c’est justement cette réforme qui a mis en alerte des dizaines d'organisations en raison des risques profonds qu'elle fait peser sur la vie privée et la sécurité des utilisateurs. Pour entrer dans les détails, la controverse vient de l'article 45, qui stipule que tous les navigateurs seront obligés d'accepter ces certificats comme valides, qu'ils soient ou non conformes aux normes de sécurité.
La sécurité des citoyens européens en danger ?
Des dizaines d'organisations et des centaines d'experts s'y opposent. Dans une lettre ouverte, plus de 460 chercheurs de 36 pays différents et des dizaines d'organisations non gouvernementales ont mis en garde contre les risques de cette réforme de l'eIDAS. Ces derniers expliquent notamment que « la proposition actuelle élargit radicalement la capacité des gouvernements à surveiller les résidents à travers l'UE, en fournissant les moyens techniques d'intercepter les données cryptées sur Internet, et en sapant les mécanismes de contrôle existants. »
Au-delà de ça, il est fait mention dans la lettre ouverte que l'article 45 peut avoir des « effets extraterritoriaux indésirables ». En effet, les autorités certifiées d'un pays doivent être reconnues dans l'ensemble de l'UE. Problème : si on suppose qu'un certain pays décide d'accorder ce certificat de manière corrompue, cette décision affecterait la sécurité de tous les autres utilisateurs. Outre le risque pour la vie privée, l'établissement de certificats spécifiques pourrait conduire à une situation où ces mêmes certificats ne seraient pas acceptés en dehors de l'Union européenne.
Selon les organisations signataires de la lettre d'opposition, cela aurait pour effet négatif d'aboutir à un web fragmenté, avec des sites web uniquement accessibles dans certaines régions. Rendez-vous donc en décembre, lorsque le Conseil devra parvenir à un accord et puis ensuite en février 2024, lorsque le Parlement européen devra accepter ou non cette future loi.