Cela a pris beaucoup de temps, mais la majeure partie du Web utilise maintenant le HTTPS pour transmettre des informations en toute sécurité. Au début de cette année, Let's Encrypt, l'une des principales autorités de certification (CA) au monde, a annoncé qu'il avait délivré un milliard de certificats, et on estime qu'il a délivré des certificats pour près de 30 % des domaines Web. Mais vendredi, l’organisme à but non lucratif a émis un avertissement aux utilisateurs d'anciens appareils Android que leur navigation sur le Web pourrait devenir difficile l'année prochaine, à partir du 1er septembre 2021.Let's Encrypt a été lancé il y a quatre ans pour faciliter la mise en place d'un site Web sécurisé. Pour démarrer une relation de confiance avec divers fabricants de logiciels et de navigateurs - nécessaire pour que ses certificats numériques soient acceptés - il s'est appuyé sur le certificat racine "DST Root X3" d'IdenTrust, une autre autorité de certification. Ainsi, les certificats de l'organisation à but non lucratif ont pu être utilisés par les sites Web et les principaux navigateurs Web leur ont fait confiance pour se connecter en toute sécurité.
L'autorité de certification, supervisée par le Groupe de recherche sur la sécurité de l'Internet (ISRG), a ensuite émis son propre certificat racine "ISRG Root X1" et a demandé à ce qu'on lui fasse confiance pour les principales plateformes logicielles. En juillet 2018, le certificat racine de Let's Encrypt avait été accepté par Microsoft, Google, Apple, Mozilla, Oracle et Blackberry, et il n'était plus vraiment nécessaire que le DST Root X3 d'IdenTrust continue à être le garant de la sécurité sur Internet de Let's Encrypt.
C’est ainsi que Let's Encrypt a annoncé vendredi dans un article ceci : « Le certificat racine DST Root X3 sur lequel nous nous sommes appuyés pour démarrer va expirer - le 1er septembre 2021. Heureusement, nous sommes prêts à voler de nos propres ailes et à ne compter que sur notre propre certificat racine ». Ce basculement intégral vers le propre certificat de Let's Encrypt ne se fera cependant pas sans conséquence.
« Certains logiciels qui n'ont pas été mis à jour depuis 2016 (approximativement lorsque notre racine a été acceptée par de nombreux programmes racine) ne font toujours pas confiance à notre certificat racine, ISRG Root X1 », a expliqué Jacob Hoffman-Andrews, développeur principal chez Let's Encrypt et technologue principal à l'Electronic Frontier Foundation, dans un avis vendredi. « Cela inclut notamment les versions d'Android antérieures à la version 7.1.1. Cela signifie que ces anciennes versions d'Android ne feront plus confiance aux certificats émis par Let's Encrypt ».
La défaillance de confiance touchera environ un tiers des appareils Android actuellement en fonctionnement, affirme Hoffman-Andrews. Avec plus de 2,5 milliards d'utilisateurs actifs d'Android, l'impact sera perceptible, mais pas trop - ces appareils Android vieillissants ne représentent apparemment qu'environ 1 à 5 % du trafic Internet, selon Hoffman-Andrews. Il n'en reste pas moins que cela mérite d'être mentionné.
Comme l’a mentionné Hoffman-Andrews dans son article, l'écosystème Android a longtemps eu du mal à convaincre les partenaires de Google en matière de matériel mobile de proposer des mises à jour logicielles pour leurs appareils Android, et ce jusqu’à ce jour :
« Android a un problème de longue date et bien connu avec les mises à jour du système d'exploitation. De nombreux appareils Android dans le monde utilisent des systèmes d'exploitation obsolètes. Les causes sont complexes et difficiles à résoudre : pour chaque téléphone, le système d'exploitation de base d'Android est généralement modifié par le fabricant et par un opérateur de téléphonie mobile avant que l'utilisateur final ne le reçoive ».
« Lorsqu'il y a une mise à jour d'Android, le fabricant et l'opérateur mobile doivent tous deux intégrer ces modifications dans leur version personnalisée avant de l'envoyer. Souvent, les fabricants décident que cela ne vaut pas la peine. Le résultat est mauvais pour les personnes qui achètent ces appareils : beaucoup sont bloqués sur des systèmes d'exploitation qui sont obsolètes depuis des années », lit-on.
33,8 % des appareils Android ne seront plus fiables à partir de septembre prochain
« Actuellement, 66,2 % des appareils Android fonctionnent avec la version 7.1 ou supérieure. Les 33,8 % d'appareils Android restants finiront par présenter des erreurs de certificat lorsque les utilisateurs se rendront sur des sites qui possèdent un certificat Let's Encrypt », a écrit Hoffman-Andrews.
Malgré cette proportion importante d’appareils qui ne fonctionneront plus correctement, Hoffman-Andrews affirme qu'il n'y a malheureusement pas grand-chose à faire pour s'assurer que les partenaires matériels d'Android mettent à jour leurs appareils. Et, ajoute-t-il, acheter un nouveau téléphone à tout le monde n'est pas une option réaliste.
« C'est une sacrée contrainte. Nous nous sommes engagés à ce que tout le monde sur la planète ait des communications sécurisées et respectueuses de la vie privée. Et nous savons que les personnes les plus touchées par le problème de la mise à jour d'Android sont celles que nous voulons le plus aider - des personnes qui ne pourront peut-être pas acheter un nouveau téléphone tous les quatre ans. Malheureusement, nous ne nous attendons pas à ce que les numéros d'utilisation d'Android changent beaucoup avant l'expiration de l’ISRG Root X1 », lit-on.
Même si l'accord ne prend fin qu'en septembre de l'année prochaine, Let's Encrypt cessera par défaut les signatures croisées à partir du 11 janvier 2021. Les sites et services pourront continuer à générer des certificats signés, mais seulement jusqu'en septembre. Mais une chose significative que les utilisateurs d'Android concernés par des erreurs peuvent faire est d'utiliser Firefox, qui est livré avec sa propre liste de certificats racine de confiance et devrait donc reconnaître le certificat ISRG Root X1.
« Pour le navigateur intégré d'un téléphone Android, la liste des certificats racine de confiance provient du système d'exploitation - qui est obsolète sur ces anciens téléphones. Cependant, Firefox est actuellement unique parmi les navigateurs - il est livré avec sa propre liste de certificats racine de confiance. Ainsi, toute personne qui installe la dernière version de Firefox bénéficie d'une liste actualisée des autorités de certification de confiance, même si son système d'exploitation est obsolète », d’après Hoffman-Andrews.
L’avis s’adresse également à certains propriétaires de sites Web qui reçoivent des plaintes d'utilisateurs afin qu’ils puissent se préparer au changement. Let's Encrypt les encourage à déployer un correctif temporaire (passer à la chaîne de certificats alternatifs) pour maintenir leur site en fonctionnement pendant qu’ils évaluent ce dont ils ont besoin pour une solution à long terme. Pour ceux qui obtiennent des certificats chiffrés de leur fournisseur d'hébergement, ce dernier ne peut servir le certificat DST Root X3 que jusqu'en septembre 2021.
Pour les anciens Android, il est peut-être possible d'installer les certificats nécessaires vous-même, à la main, sur votre appareil, si vous vous y connaissez, surtout qu’il n'y a plus de garantie à annuler. On peut se demander également si Google pourrait mettre à jour Chrome sur les anciens appareils Android pour y inclure les certificats.
Source : Let’s Encrypt
Et vous ?
Qu’en pensez-vous ? Un tiers des appareils Android sont concernés par le problème de confiance après septembre. Qu’en pensez-vous ? Que pensez-vous de la solution d’injecter soi-même des certificats nécessaires ?Voir aussi :
L'autorité de certification Let's Encrypt annonce avoir déjà délivré un milliard de certificats SSL/TLS, depuis son lancement en 2015 L'autorité de certification Let's Encrypt passe à la validation multi-perspective en production, une contre-mesure pour bloquer les attaques du Border Gateway Protocol Un bogue dans un logiciel utilisé par Let's Encrypt pousse la société à révoquer plus de 3 millions de certificats ce 4 mars, vous pouvez vérifier si vous êtes affectés ou pas Microsoft Teams a été en panne pendant quelques heures, parce que l'éditeur avait oublié de renouveler un certificat de sécurité critique 
Envoyé par TotoParis
. Alors d'accord avec Tanaka59.
