Les experts estiment que les fonctionnaires doivent avoir copié et collé des morceaux de texte de l'ancienne législation dans le document.
Les références se trouvent à la page 921 de l'accord commercial, dans une section sur les technologies de chiffrement. Il est recommandé également d'utiliser des systèmes désormais vulnérables aux cyberattaques. Le texte cite « des progiciels de messagerie modernes comprenant Outlook, Mozilla Mail ainsi que Netscape Communicator 4.x. » Les deux derniers sont maintenant disparus (la dernière version majeure de Netscape Communicator date de 1997).
En voici un extrait :
« Le standard ouvert s/MIME en tant qu'extension du standard de messagerie électronique SMTP de facto sera déployé pour chiffrer les messages contenant des informations de profil ADN. Le protocole s/MIME (V3) autorise les reçus signés, les étiquettes de sécurité et les listes de diffusion sécurisées et repose sur la Cryptographic Message Syntax (CMS), une spécification IETF (Internet Engineering Task Force) pour les messages protégés par cryptographie. Il peut être utilisé pour signer, enregistrer, authentifier ou chiffrer numériquement toute forme de données numériques.
« Le certificat sous-jacent utilisé par le mécanisme s/MIME doit être conforme à la norme X.509. Afin d'assurer des normes et des procédures communes avec d'autres applications Prüm, les règles de traitement pour les opérations de chiffrement s/MIME ou à appliquer dans divers environnements Commercial Product of the Shelves (COTS) sont les suivantes:
- la séquence des opérations est: d'abord chiffrement puis signature,
- l'algorithme de chiffrement AES (Advanced Encryption Standard) avec une longueur de clé de 256 bits et RSA avec une longueur de clé de 1024 bits doit être appliqué respectivement pour le chiffrement symétrique et asymétrique,
- l'algorithme de hachage SHA-1 doit être appliqué.
« La fonctionnalité s/MIME est intégrée à la grande majorité des progiciels de messagerie modernes, notamment Outlook, Mozilla Mail ainsi que Netscape Communicator 4.x, et interagit avec tous les principaux progiciels de messagerie. En raison de l'intégration facile de s/MIME dans l'infrastructure informatique nationale sur tous les sites des États, il est sélectionné comme mécanisme viable pour mettre en œuvre le niveau de sécurité des communications. Pour atteindre l'objectif "Proof of Concept" de manière plus efficace et réduire les coûts, l'API JavaMail standard ouverte est toutefois choisie pour le prototypage de l'échange de données ADN. L'API JavaMail fournit un chiffrement et un déchiffrement simples des e-mails à l'aide de s/MIME et/ou OpenPGP. L'objectif est de fournir une API unique et facile à utiliser pour les clients de messagerie qui souhaitent envoyer et recevoir des e-mails chiffrés dans l'un des deux formats de chiffrement d'e-mails les plus courants. Par conséquent, toute implémentation de pointe de l'API JavaMail suffira pour les exigences définies par le titre II [Échanges d'ADN, d'empreintes digitales et de données d'immatriculation de véhicule] de la troisième partie, comme le produit de Bouncy Castle JCE (Java Cryptographic Extension), qui sera utilisé pour mettre en œuvre s/MIME pour le prototypage de l'échange de données ADN entre tous les États ».
Le document recommande également d'utiliser le chiffrement RSA 1024 bits et l'algorithme de hachage SHA-1, qui sont à la fois obsolètes et vulnérables aux cyberattaques.
« Il est clair que quelque chose ne va pas dans la rédaction de ce traité, et nous irions jusqu'à oser croire qu'un fonctionnaire fatigué a simplement copié-collé un document de sécurité de la fin des années 1990 », a commenté un internaute.
Plusieurs personnes ont suggéré que les mots avaient été copiés d'une loi européenne de 2008, qui comprend le même texte.
Le professeur Bill Buchanan, expert en cryptographie à l’Université Napier d’Édimbourg, a déclaré qu’il n’y avait « aucune excuse » pour les références obsolètes. « Je pense que cela ressemble à un copier-coller standard d'anciennes normes, et avec peu de compréhension des détails techniques. Le texte est plein d'acronymes, et il faut peut-être plus d'explications d'un profane pour définir les exigences ». Bien que SHA-1 et RSA 1024 bits « constituaient une bonne sélection il y a une dizaine d'années, ils ne sont plus à la hauteur des normes de sécurité modernes », a-t-il ajouté.
Les négociations sur le Brexit se sont finalement terminées la veille de Noël, avec un accord de plus de 1200 pages. Les ambassadeurs des 27 États membres de l'UE ont approuvé à l'unanimité l'accord commercial UE-Royaume-Uni post-Brexit. Le Parlement britannique devrait l'approuver mercredi, ouvrant la voie à son entrée en vigueur provisoire le 1er janvier avant le vote du Parlement européen.
Source : accord entre l'UE et l'UK, professeur Bill Buchanan
Et vous ?
Qu'en pensez-vous ? Partagez-vous l'avis du professeur Bill Buchanan qui estime qu'il n'y a « aucune excuse » pour les références obsolètes ou voyez-vous les choses autrement ?
Des références obsolètes, sans incidence ou faute grave ?