Electronic Identification, Authentication and Trust Services (eIDAS) = règlement UE 910/2014. Cadre européen unifié pour les certifs x509, en gros.
eIDAS 2.0 = révision d'eIDAS afin de fournir un cadre unifié pour délivrer une identité numérique et un portefeuille de documents à chaque citoyen (gratos) et à chaque société commerciale (possiblement payant) de l'UE. Fédération d'identité (et partage d'attributs / docs) à la FranceConnect, quoi. Garantie légale que l'utilisation sera volontaire (j'y crois juste pas). Tableau de bord permettant de visualiser et de contrôler la transmission des données persos. Pseudonyme (un seul ?) associable à l'identité numérique. Logiciel open source (sauf côté serveurs), ce qui évitera les merdes à la Adobe Sign actuellement utilisées par les sociétés commerciales dont les banques. Sources : 1 ; 2.
Levé de boucliers car :
- Les articles 45 et suivants du texte actuel imposeraient (la version issue de l'accord du 8 novembre 2023 n'est pas publiée) aux navigateurs web d'intégrer et de faire confiance à des autorités de certifications (AC) sous contrat avec les États membres de l'UE. Cela permet à ces AC de signer des certificats x509 dans le dos du propriétaire légitime d'un service numérique, certificat qui ne lèvera aucune alerte côté navigateur web du citoyen, ce qui autorise, dans un certain contexte, l'interception des échanges entre un citoyen et un service numérique. Si les certifs européens (attributs supplémentaires / procédure QWACS d'eIDAS 1, similaire à EV) étaient généralisés en dehors de la fédération d'identité, pour des sites web normaux quoi, ces autorités, sous contrat gouvernemental, recevrait la liste des sites web consultés par les citoyens (principe d'OCSP) ;
- Les mêmes articles imposeraient des mesures de sécurité maximales aux autorités de certification ou aux participants à la fédération d'identité, ce n'est pas clair, d'où une rigidité et une certaine inertie en cas d'évolution cryptographique ou des usages, car il faudrait que l'ETSI corrige son référentiel / sa norme. De même, la norme ETSI pourrait ne pas prévoir l'utilisation de certaines techniques comme Certificate Transparency afin de masquer d'éventuels détournements ;
- Le texte manquerait de garanties sur la non-récupération, par les gouvernements (et des tiers ?), de données perso (attributs et documents) transmises entre des services de la fédération d'identité (fournisseur et utilisateur).
Mouais, j'ai l'impression que le risque est sur-estimé, qu'on en fait des caisses (genre l'EFF, rien que le titre, déjà… comme si les AC gouvernementales avaient disparues) :
- Ne pas imposer l'intégration des AC européennes rendrait le mécano vulnérable à l'ingérence étrangère puisque l'UE n'a pas de navigateur web. D'un autre côté, si la fédération d'identité UE se développe, tout navigateur qui n'intègre pas les AC se privera du marché UE (soft power). Donc j'ai l'impression qu'il s'agit plus d'une incompréhension liée à la souveraineté qu'une intention de nuire, et ce point n'est pas expliqué dans la lettre ouverte ;
- Un État membre de l'UE qui créerait de faux certifs minerait la confiance dans l'ensemble du système ;
- Il ne faut pas que des certificats x509 pour intercepter du trafic (mais aussi une infrastructure technique, déjouer les protections type CAA, CT, DANE TLSA & co, et être sur le chemin entre un citoyen et un service). La multiplicité des FAI français fait plutôt obstacle à une véritable interception massive ;
- Tout le système x509 est déjà une vaste blague perméable à des injonctions gouvernementales… Qu'un règlement européen les "rendent possibles" par ricochet est un détail… ;
- On éclipse la question de fond : une identité numérique étatique est-elle souhaitable ?
Suite : affinage technique puis adoption identique par les deux législateurs de l'UE.