Les guerres de la vie privée sur le Net seront toujours présentes. Voyons établir quelques règles.

Des avis La première question est : faites-vous confiance à Google ? Le Mouvement pour un Web Ouvert (Open Web Movement) n’en a pas. Il porte plainte contre Big G auprès de l’autorité de la concurrence et des marchés du Royaume-Uni (Competition and Markets Authority), à cause de la future fonction de protection des adresses IP de Chrome. La deuxième question est : faites-vous confiance aux gouvernements européens ? La Electronic Frontier Foundation (EFF) et des centaines d’experts ne le font pas non plus, soulignant que certains éléments des modifications proposées à la réglementation européenne appelée eIDAS exempteraient les certificats approuvés par l’État de toute action de sécurité par les navigateurs. Voyons ces deux histoires, toutes deux du dernier mois. La protection des adresses IP de Google consiste essentiellement en un proxy d’anonymisation qui signifie que Chrome transmet votre adresse IP à un tiers anonymisateur. Celui-ci attribue des adresses IP aléatoires qui changent assez souvent pour que personne ne puisse vous identifier sur différents sites. Selon le MOW, c’est une mauvaise chose, car cela signifie que seul Google peut suivre les données, ce qui n’est pas juste pour les autres entreprises du secteur des technologies de l’information – dont le MOW est le porte-parole. Cela encourage également la fraude et, oh oui, que va-t-il se passer pour les enfants ? La réglementation eIDAS concerne la confiance. Les certificats numériques qui contrôlent la sécurité des protocoles tels que HTTPS sont émis par des autorités de certification (Certificate Authorities, CA), qui font partie d’une chaîne de confiance. Un site avec un certificat valide est bien celui qu’il prétend être. Si une CA est compromise ou malveillante, elle est retirée de cette chaîne et les navigateurs n’utilisent plus les clés fournies par les sites avec de mauvais certificats. eIDAS veut désactiver cette fonction de sécurité pour les certificats émis par les CA approuvées par l’État. Même si les certificats identifient faussement des sites frauduleux, les utilisateurs ne pourront pas le savoir. Cela donnerait aux États, aux organisations approuvées par l’État ou à toute personne faisant partie de manière corruptrice de cette chaîne de confiance particulière, la possibilité de créer de faux sites qui surveillent et déchiffrent silencieusement et à grande échelle le trafic Web. C’est une nouvelle tentative d’interdire le chiffrement de bout en bout, et pour les mêmes raisons – lutter contre la criminalité et le terrorisme, prévenir les abus, et, oh oui, pensez aux enfants.

Share the Post: