On l'a souvent évoqué dans nos articles sur la sécurité numérique. L'une des règles premières pour naviguer en toute sérénité sur la Toile, notamment lorsqu'il s'agit de se connecter à quelconque compte privé et d'effectuer des achats en ligne, c'est de s'assurer de la présence en début d'URL de la mention "https". Le "s", plus particulièrement, faisant foi d'un espace sécurisé.

Qu'est-ce qui l'assure ? Pour pouvoir activer ce protocole, les sites Internet doivent obtenir un certificat de sécurité auprès d'une autorité de certification, qui permet ainsi de garantir leur fiabilité. Des autorités de certification, considérées comme "tiers de confiance", il en existe plusieurs. Let's Encrypt est aujourd'hui l'une des plus importantes au monde. Et c'est elle qui a annoncé la terrible nouvelle pour des millions d'utilisateurs Android autour du globe : son certificat de sécurité, qui a servi à bon nombre de sites d'obtenir le fameux protocole "https" ces dernières années, ne sera bientôt plus compatible avec des anciennes versions du fameux système d'exploitation de Google.

Dans un billet publié le 6 novembre dernier, l'autorité de certification explique qu'à sa naissance, il y a cinq ans de cela, il lui a fallu trouver un partenaire afin de pouvoir se positionner comme un tiers de confiance. Car après tout, qui se fierait aveuglement à un nouveau-venu ? Ainsi, en attendant de faire ses preuves, Let's Encrypt a opté pour une certification croisée avec une autre autorité dénommée IdenTrust, qui bénéficiait d'une certaine ancienneté.

Un contrat de confiance qui arrive à terme en 2021

Le certificat ISRG Root X1 développé par Let's Encrypt a ainsi été lié au certificat DST Root X3 d'IdenTrust, déjà cautionné par Android, iOS ou Windows, entre autres. Ce qui lui a permis d'obtenir à son tour la confiance de ces grands systèmes d'exploitation, et d'être utilisé par bon nombre de sites Internet, permettant même à la nouvelle autorité de certification de devenir un acteur majeur dans le monde du numérique. Le fait est qu'aujourd'hui, elle n'a plus besoin d'un chaperon. Et ça tombe bien, son partenariat avec IdenTrust arrive bientôt à expiration. À compter du 1er septembre 2021, le certificat ISGR Root X1 de Let's Encrypt fonctionnera en solo. Ce qui ne sera toutefois pas une bonne nouvelle pour tout le monde, puisque cela donnera forcément lieu à quelques incompatibilités…

Car en plus de servir de caution, et encore une fois grâce à son ancienneté, le certificat d'IdenTrust permettait à celui de Let's Encrypt d'être compatible même avec les systèmes d'exploitation qui avaient été développés avant son arrivée. Aussi, lorsque ledit ISGR Root X1 volera de ses propres ailes, il ne sera par définition plus reconnu par ces logiciels. En gros, ceux qui n'ont pas été mis à jour depuis 2016 ne seront tout simplement plus compatibles avec les sites Internet qui ont quant à eux adopté le certificat de sécurité, largement déployé depuis cette année-là. Et cela concerne donc notamment des anciennes versions d'Android.

Comment duper l'OS obsolète grâce à un navigateur web

Ce sont les appareils fonctionnant sous une version Android antérieure à la 7.1.1, plus communément appelée Nougat et effectivement lancée en 2016, qui devraient ainsi se voir privés l'année prochaine de l'accès à un certain nombre de sites sur la Toile. Pour donner un ordre d'idée, le média Android Police précise que Let's Encrypt a validé la certification de pas moins de 30% des domaines Internet, tandis que l'autorité de certification affirme elle-même que 33,8% des appareils Android dans le monde fonctionnent encore sous une version antérieure à Nougat. En d'autres termes, ce sont donc potentiellement 33,8% des utilisateurs Android, soit des millions de personnes autour du globe, qui n'auront plus accès à un tiers de la Toile…

Ce qui peut tout de même poser un gros souci pour les individus concernés. Alors, que faire ? Une première solution serait bien évidemment de changer de smartphone, pour un appareil fonctionnant donc sous une version plus récente d'Android. Mais il en existe une autre, qui permet de contourner le problème sans avoir à casser la tirelire. Let's Encrypt signale en effet que, si les navigateurs web installés sur les smartphones se basent généralement sur les mêmes certificats de confiance que les systèmes d'exploitation, il en est un qui — heureusement — agit indépendamment : il s'agit de celui de Mozilla. "Quiconque installera la dernière version de Firefox bénéficiera d'une liste à jour d'autorités de certification de confiance, même si leur système d'exploitation est obsolète", note ainsi Let's Encrypt dans son billet. À la bonne heure !

Sources : Let's Encrypt, Android Police, 20 Minutes