diff options
Diffstat (limited to 'notes/verrou-états-unien-du-web.md')
| -rw-r--r-- | notes/verrou-états-unien-du-web.md | 198 |
1 files changed, 198 insertions, 0 deletions
diff --git a/notes/verrou-états-unien-du-web.md b/notes/verrou-états-unien-du-web.md new file mode 100644 index 0000000..a8f313b --- /dev/null +++ b/notes/verrou-états-unien-du-web.md @@ -0,0 +1,198 @@ +--- +pubDate = 2026-06-19T05:18:46 +tags = ['https', 'web', 'cryptographie'] +lang = "fr" +type = "note" + +[author] +name = "ache" +email = "ache@ache.one" + +[[alt_lang]] +lang = "en" +url = "/notes/the-us-lock-of-the-web" +--- + +# Le verrou états-unien du Web + + +Parlons du cas de **Let's Encrypt**. + +Dernièrement, si cela vous a échappé, **Let's Encrypt**, l'autorité de certification la plus connue au monde, a ajouté à ses conditions d'utilisation qu'[elle appliquait les sanctions états-uniennes](https://linuxiac.com/lets-encrypt-certificate-rules-now-include-u-s-sanctions-warranties/). +C'est peu étonnant, mais cela questionne. +L'application du droit états-unien aux infrastructures critiques du web constitue une arme géopolitique importante. + +<!-- Cela intervient après que l'administration Trump ait menaçé de couper les fonds de l'_Open Technology Fund_, dont _Let's Encrypt_ dépendait avant de se rétracter ([$800 000 dollars en 2024/2025](https://www.opentech.fund/projects-we-support/supported-projects/increasing-internet-security-through-shorter-lived-tls-certificates/), soit somme non négligeable mais pas critique). --> + +::::details +Qu'est-ce que _Let's Encrypt_ ? + +**Let's Encrypt** est l'autorité de certification du web la plus connue au monde. + +Issue d'un effort collectif de Mozilla , et l'_Electronic Frontier Fondation_, l'organisation à but non lucratif de défense des droits numériques la plus active, _Let's Encrypt_ a véritablement contribué à installer le petit cadenas HTTPS dans votre barre de navigation. + +:::attention +Si vous ne savez pas ce qu'est _Let's Encrypt_ ou une autorité de certification, vous n'êtes pas tout à fait le public cible de cet billet de blog. +Sachez simplement qu'ici, il est question du cadenas dans la barre de navigation de votre navigateur. +::: +Afin de démocratiser l'usage d'HTTPS, _Let's Encrypt_ a révolutionné la certification en deux points : + +- _La gratuité_. La certification par _Let's Encrypt_ est gratuite, point. Pour les concurrents de 2014, un certificat coûte TRÈS cher. Encore aujourd'hui, c'est le facteur la majorité des acteurs à choisir **Let's Encrypt**. Pour information, un certificat coûte 188€/an chez [GlobalSign](https://shop.globalsign.com/fr/ssl), $800 pour [un certificat générique](https://www.sectigo.com/fr/blog/cout-certificat-ssl-guide-achat) chez sectigo. +- _L'automatisation_. Alors que récupérer un certificat en 2014 passe par une procéssus de vérification long, un paiement puis un renouvellement manuel, Let's Encrypt automatise tout. Cela facilite le travail de tout le monde et participe à un web plus sûr. + +:::: + +Concrètement, cela signifie que _Let's Encrypt_ ne délivrera pas de certificat pour une entreprise, une organisation ou une personne sanctionnée. +Par exemple, aucun site web en Russie ou en Iran ne pourra obtenir ce certificat. +Plus spécifiquement, [Nicolas GUILLOU](https://sanctionssearch.ofac.treas.gov/Details.aspx?id=54211), juge de la Cour pénale internationale et émetteur du mandat d'arrêt international contre Netanyahou, ne pourra se faire certifier par Let's Encrypt, que ce soit à son compte ou via un sous-traitant. + +Concrètement, cela signifie que **Let's Encrypt** ne signera pas de certificat pour une entreprise, organisation ou une personne sanctionnée. +Par exemple, aucun site web de Russie ou d'Iran ne poura obtenir de certificat. +Ou encore, Nicolas GUILLOU, juge de la Cour Pénale Internationale, émeteur du mandat d'arrêt Internationale contre Netanyahou, ne poura avoir de certification par _Let's Encrypt_, ni à son compte, ni en sous-traitance. + +## La dépendance à Let's Encrypt + +Il y a un an de cela, [Stéphane Bortzmeyer](https://www.afnic.fr/association-excellences/qui-sommes-nous/equipe/stephane-bortzmeyer/) postait sur Mastodon que 80% des certificats sur le web provenaient de **Let's Encrypt**. +Alors forcément, j'ai voulu vérifier cela. +En particulier, j'ai voulu vérifier à quelle point _j'étais, moi_, européen moyen, dépendant de _Let's Encrypt_.[^ca_ache.one] + +[^ca_ache.one]: Juste pour information, tous mes certificats sont émis par _Let's Encrypt_, dont celui du présent site web. + +Ma première idée était de récupérer les données d'un [journal de transparence des certificats](https://letsencrypt.org/fr/docs/ct-logs/) (log TC ou _Certificat Transparency Log_ en anglais). +Cependant, cela ne traduit pas MA dépendance concrête à **Let's encrypt** et demande beaucoup de ressources. +La taille d'un journal se comptant en dizaine de téraoctets, je les laisse donc faire leurs propres statistiques. +Il se trouve que Cloudflare possède justement un tableau de bord à ce sujet : + +[](https://radar.cloudflare.com/explorer?dataSet=ct&groupBy=ca_owner&filters=uniqueEntries%253Dtrue) + +:::details +D'après les données de Cloudflare. + +| | CA | Pourcentage des certificats délivrés | +| --: | :-------------------- | -----------------------------------: | +| 1 | Let's Encrypt | 52% | +| 2 | Google Trust Services | 17% | +| 3 | Sertigo | 15% | +| 4 | GoDaddy | 6% | +| 5 | Amazon | 4% | +| 6 | DigiCert | 2.5% | +| 7 | Microsoft | 1.4% | +| 8 | SSL.com | 0.69 | + +Si on inclut les certificats multiples, c'est-à-dire plusieurs certificats pour le même nom de domaine par exemple. +Alors **Let's Encrypt** est légèrement plus productif en proportion, mais cela ne change pas l'ordre d'importante de chaque autorité de certification (sauf GoDaddy). + +::: + +Pour analyser ma dépendanse personnelle à Let's Encrypt, j'ai plutôt opté pour une module web (ou _plugin web_) à installer dans Firefox. +Celui-ci analyse tous les sites que je visite et enregistre l'autorité de certification associée à la première visite du site web (dans le mois courant). +Je vous présente [Cert Check](https://addons.mozilla.org/fr/firefox/addon/cert-check/). + +J'ai installé cette extension l'année dernière sur tous mes appareils. +Je peux donc être très précis sur ma dépendance concrête à chaque autorité de certification. + +## Y a-t-il un monopole _Let's Encrypt_ ? + +Oui _Let's Encrypt_ est bien l'autorité de certification la plus utilisée par les sites que je visite. +Mais non, ce n'est pas 80% des sites que je visite et ça reste moins que les chiffres de Cloudflare. + +Sur le dernier mois: + +| | CA | Percentage des sites visités | +| --: | :-------------------- | ---------------------------: | +| 1 | Let's Encrypt | 46.098 | +| 2 | Google Trust Services | 32.40 | +| 3 | DigiCert | 7.58 | +| 4 | Amazon | 5.26 | +| 5 | GlobalSign | 2.93 | +| 6 | Sectigo | 2.93 | +| 7 | USERTrust | 1.34 | +| 8 | Go Daddy | 0.37 | +| 9 | Certigna | 0.37 | +| 10 | HARICA | 0.37 | +| 11 | SSL.com | 0.24 | +| 12 | SwissSign | 0.12 | + + + +Cependant, si je prends en compte tous les sites que Firefox a requêté, pas seulement ceux que j'ai visité, c'est Google qui est l'autorité de certification la plus prolifique. + +:::note +Les sites "visités" sont ceux qui sont apparus dans ma barre de navigation. +Les sites web requêtés sont ceux où mon navigateur a effectué une requête HTTPS, par exemple, une image affichée dans une page web, mais héberger chez un autre site web (que je n'ai pas visité directement). +::: + +Sur le dernier mois: + +| | CA | Pourcentage des NdD chargés | +| --: | :-------------------- | --------------------------: | +| 1 | Google Trust Services | 29.76 | +| 2 | Let's Encrypt | 28.97 | +| 3 | GlobalSign | 12.67 | +| 4 | Amazon | 11.36 | +| 5 | DigiCert | 8.43 | +| 6 | USERTrust | 3.82 | +| 7 | Sectigo | 2.07 | +| 8 | Go Daddy | 1.52 | +| 9 | HARICA | 0.42 | +| 10 | SSL.com | 0.26 | +| 11 | Buypass | 0.23 | +| 12 | Certigna | 0.19 | +| 13 | Certum | 0.07 | +| 14 | COMODO RSA | 0.06 | +| 15 | Deutsche Telekom | 0.06 | +| 16 | IdenTrust | 0.03 | +| 17 | Entrust | 0.02 | +| 18 | Actalis | 0.02 | +| 19 | SwissSign | 0.02 | +| 20 | emSign | 0.005 | + + + +Ainsi, 46% environ des sites que je visite ont un certificat issue de Let's Encrypt et 30% des certificats que mon navigateur a utilisé sont issues de Google. +Ma dépendance concrête à Google est étonnante, surtout si l'on prend on compte que je n'utilise pas de compte Google au quotidien et que ce n'est même pas mon moteur de recheche par défaut ! + +## Une dépendance états-unienne + +De nombreux acteurs se sont offusqués lorsque _Let's Encrypt_ a modifié ses conditions d'utilisation, mais peu de personnes ont dénoncé l'hégémonie états-unienne sur l'infrastructure des certifications. + +Je remarque principalement que les **États-Unis[^usa_cert] ont signé plus de 95% des certificats des sites web que j'ai visités**. +Le premier acteur non états-uniens est [GlobalSign](https://en.wikipedia.org/wiki/GlobalSign) (Ayant son quatier général en Europe, mais plus mondial qu'européen désormais) qui a signé 3% des certificats, le second est [HARICA](https://harica.tbs-certificats.com/), un CA public Greque avec 0.34%[^geomys]. + +Pire encore, 100% des navigateurs sont soumis au droit états-unien, même s'ils ne s'y soumettent pas pour plusieurs raisons, et seuls deux des 8 [journaux de transparence des certificats](https://certificate.transparency.dev/logs/) sont européens. +Un seul est asiatique ! + +[^usa_cert]: Ici je parle des autorités de certifications soumises directement au droit états-unien. + +[^geomys]: + Je ne connaissais pas [Geomys](https://geomys.org/). + C'est un _CT Logs_ créer par [_Filippo Valsorda_](https://filippo.io/), un cryptographe italien connue dans le monde du libre. + Je l'ai classé comme Européen, mais soyons honnête, ses financements sont privés et d'origine US. + +La conclusion est claire, les États-Unis ont la capacité de soumettre à leur juridiction extraterritoriale l'ensemble des acteurs de l'infrastructure mondial de la sécurité sur le Web. + +La signature de certificat est aujourd'hui concentrée entre les mains d'une poignée d'acteurs dont les racines légales, financières et juridiques relèvent des États-Unis. + +:::attention +Ici, j'ai mis l'accents sur les autorités de certification, mais trop d'infrastructures sont dépendantes de l'autorité états-unienne. +::: + +Même les navigateurs (Chrome/Google, Firefox/Mozilla, Safari/Apple et Edge/Microsoft) sont soumis au droit américain, ce qui signifie que la liste maîtresse des certificats de confiance est, en réalité, une porte dérobée vers notre intimité numérique. + +Cela ne constitue pas seulement un risque opérationnel, c'est une faille structurelle de souveraineté. + +C'est un effort mondial que nous devons mettre en place pour retrouver un éco-système plus sain. +Pas seulement en Europe. +L'Asie n'est représenté que par la Chine et l'absence de tout acteur issue de l'Afrique ou de l'Amérique Latine est inquiétante. + +La réponse passe par plusieurs axes concrets : + +- Diversifier les autorités de certification racine et les journaux de transparence. +- Sensibiliser les acteurs non US, que ce soit un hébergeur allemand ou un développeur indien, à leur dépendance. + Il faut prendre conscience que soutenir l'infrastructure la plus locale possible contribue à la résilience du web. +- Investir dans le développement de navigateurs web libres et plus généralement, dans le logiciel libre. + La mutualisation des coûts que permet de logiciel libre est la seule réponse cohérente à l'hégémonie états-unienne. + +**Le Web reste et doit rester un bien commun mondial**. +Sa sécurité ne doit pas devenir un levier de pression dépendant des cycles électoraux ou des tensions commerciales de Washington. +C'est à nous tous que reviens le devoir de rééquilibrer cette balance avant que la confiance numérique ne soit instrumentalisée. |