Les guerres de la vie privée sur le Net seront toujours avec nous. Mettons en place quelques règles.

Question rapide nº 1 : avez-vous confiance en Google ? Le mouvement pour un web ouvert (MOW) n’a pas confiance. Il porte plainte contre Google auprès de l’autorité de la concurrence et des marchés du Royaume-Uni (« Big C ») à cause de la fonctionnalité de protection des adresses IP de Chrome. Question rapide nº 2 : avez-vous confiance envers les gouvernements européens ? La Electronic Frontier Foundation (EFF) et des centaines d’experts n’ont pas confiance, et soulignent que certains éléments des modifications proposées à la réglementation européenne appelée eIDAS permettraient aux certificats approuvés par les États d’être exemptés d’actions de sécurité par les navigateurs. Voyons chaque histoire, toutes deux des deux dernières semaines, tour à tour. La protection des adresses IP de Google est essentiellement un proxy anonyme qui signifie que Chrome transmet votre adresse IP à un tiers anonyme. Celui-ci attribue des adresses IP aléatoires qui changent assez souvent pour que personne ne puisse vous identifier à travers les différents sites. Selon MOW, c’est mauvais car cela signifie que seul Google peut suivre, ce qui est injuste envers les autres entreprises de technologie publicitaire – pour lesquelles MOW parle. Cela encourage également la fraude et, oh oui, quelqu’un pensera-t-il aux enfants ? La réglementation eIDAS concerne la confiance. Les certificats numériques qui contrôlent la sécurité des protocoles tels que HTTPS sont délivrés par des autorités de certification (CA) qui font partie d’une chaîne de confiance. Un site avec un certificat valide est celui qu’il prétend être. Si une CA est compromise ou malveillante, elle est retirée de cette chaîne et les navigateurs n’utilisent plus les clés fournies par les sites avec les mauvais certificats. eIDAS veut désactiver cette fonctionnalité de sécurité pour les certificats délivrés par les CA approuvés par les États. Même si les certificats identifient de fausses sites, les utilisateurs ne pourront pas le dire. Cela donnerait aux États, aux organisations approuvées par les États ou à toute personne faisant partie de manière corrompue de cette chaîne de confiance particulière, la possibilité de créer des sites falsifiés qui surveillent et décryptent silencieusement et à grande échelle le trafic Web. C’est une nouvelle attaque contre le chiffrement de bout en bout, et pour les mêmes raisons – pour aider à lutter contre la criminalité et le terrorisme, prévenir les abus, et, oh oui, pensez aux enfants.

Share the Post: