Mozilla, l’organisation derrière le navigateur Firefox, a pris une décision importante pour la sécurité du web : refuser la demande des Émirats arabes unis de devenir une autorité de certification sur internet.

Ils souhaitaient être reconnus comme organisme officiel pouvant valider la sécurité de sites web pour les utilisateurs de Firefox. Mais cette demande a été bloquée par Mozilla, principalement en raison de liens allégués entre la firme émiratie DarkMatter et des activités de cyberespionnage.

Des inquiétudes très sérieuses

Selon plusieurs reportages — dont ceux de Reuters et de Forbes — DarkMatter aurait été impliquée dans un programme de piratage, nommé Project Raven, au service d’une agence de renseignement émiratie. Ce projet visait notamment des journalistes, des militants pour les droits humains et même des fonctionnaires de gouvernements étrangers. Plusieurs anciens agents du renseignement américain auraient été recrutés pour mener ces opérations depuis une résidence discrètement transformée en centre de commandement à Abou Dhabi.

DarkMatter rejette ces allégations et affirme n’avoir jamais participé à des attaques offensives, Mozilla a jugé les preuves suffisamment sérieuses pour rejeter leur demande.

Pourquoi c’est important?

Les autorités de certification (CA – Certificate Authorities) jouent un rôle essentiel dans la sécurité internet. Ce sont elles qui émettent les fameux certificats SSL, ceux qui assurent que votre connexion à un site est bien chiffrée et sécurisée. Si une entité malveillante détient cette autorité, elle pourrait créer de faux sites bancaires ou de messagerie, détourner des données confidentielles ou surveiller les utilisateurs à leur insu.

Pour Mozilla, faire confiance à une organisation associée à de possibles abus représentait un trop grand risque. La décision a également entraîné le retrait de la reconnaissance de plus de 275 certificats précédemment émis par DarkMatter, désormais considérés comme non sécuritaires dans Firefox.

La suite des choses…

DarkMatter ont tenté de contourner le problème en transférant ses activités de certification à une nouvelle entité nommée DigitalTrust, mais Mozilla a également rejeté cette tentative, jugeant l’indépendance de la nouvelle structure peu crédible.

Cette prise de position marque un tournant. Habituellement, les décisions de Mozilla reposent sur des critères techniques, mais cette fois, l’organisation a tenu compte de reportages journalistiques. C’est un précédent qui pourrait influencer d’autres grands noms du secteur comme Google (Chrome) et Apple (Safari), qui suivent souvent la façon de faire de Firefox en matière de sécurité.

En refusant de déléguer un pouvoir aussi critique à un acteur jugé douteux, Mozilla rappelle qu’au-delà de la technologie, la sécurité web repose aussi sur la confiance. Et celle-ci ne peut être accordée à la légère.