Des millions de smartphones, TV et consoles pourraient perdre leur accès à internet ce 30 septembre

Un important certificat de sécurité est sur le point d’expirer et pourrait « casser » l’accès internet d’un grand nombre d’anciens appareils.

Let’s Encrypt est un des plus grands fournisseurs de certificats HTTPS. Des certificats qui cryptent les connexions entre les appareils lorsqu’ils se connectent à internet et garantissent que personne ne peut intercepter et voler des données pendant leur transfert. Des millions de sites Web s’appuient aujourd’hui sur les certificats de Let’s Encrypt.

Le chercheur en sécurité Scott Helme a cependant averti que le certificat de sécurité que Let’s Encrypt utilise actuellement, « l’IdentTrust DST Root CA X3 », expirera ce 30 septembre. Après cette date, un grand nombre d’appareils ne fera plus confiance aux certificats émis par cette autorité de certification.

Ce certificat DST Root CA X3 est d’autant plus important qu’il valide un autre certificat encore plus utilisé appelé « ISRG Root X1 ». En 2015, lorsqu’il a été émis, Let’s Encrypt était encore récent et n’était pas aussi largement accepté par les navigateurs et les appareils qu’il ne l’est aujourd’hui. ISRG Root X1 fonctionnait donc comme un certificat « intermédiaire » tandis que DST Root CA X3 agissait comme certificat racine et indiquait aux appareils qu’ils pouvaient faire confiance à ce certificat.

Quels appareils concernés ?

Let’s Encrypt est un acteur important d’internet. Début septembre, la société a annoncé avoir atteint les 2 milliards de certificats émis ! Son importance grandit d’année en année et lorsque quelque chose comme cela se produit, cela crée forcément plus de dégâts collatéraux.

Parmi les systèmes les plus susceptibles d’être touchés, on retrouve les vieux Macs (avant macOS 10.12.0), les iPhone (iOS 9 et antérieurs), les Android (Android 2.3.6 et antérieurs), les consoles de jeu PlayStation 3 et Nintendo 3DS, un nombre inconnu de téléviseurs intelligents, de décodeurs et d’autres appareils intelligents. Certaines PlayStation 4 pourraient également perdre une partie de leur connectivité internet si elles ne sont pas à jour.

La liste complète est accessible ici.

Une solution temporaire pour les Android

Parmi tous les appareils susceptibles d’être touchés par l’expiration de ce certificat, les anciens téléphones sous Android préoccupent le plus les chercheurs de Let’s Encrypt. Une solution temporaire a donc été trouvée pour réduire l’impact de cette expiration. « Pour faciliter la transition, principalement pour les clients Android, nous avons obtenu une nouvelle signature croisée qui s’étend au-delà de la durée de vie du certificat expiré (NDLR : 2024) » indique Josh Aas, directeur exécutif de l’internet Security Research Group chez Let’s Encrypt. Josh Aas ajoute par ailleurs qu’effectuer la mise à jour de ces appareils pourrait régler le problème.

Le navigateur Firefox pourrait par ailleurs permettre de continuer de bénéficier d’un accès internet. « Firefox est actuellement unique parmi les navigateurs », indique Let’s Encrypt. « Il est livré avec sa propre liste de certificats de sécurité. » Le navigateur ne dépend donc pas du système d’exploitation de l’appareil pour ses certificats de sécurité.

Une impression de déjà vu

Ce ne sera pas la première fois qu’un certificat expire. Cela s’est déjà produit le 30 mai 2020, lorsque le certificat AddTrust a expiré et a emporté pas mal de choses avec lui. Des organisations comme Spreedly, Stripe ou Roku ont rencontré des problèmes suite à cette expiration.

Dans des circonstances normales, l’expiration d’un certificat ne vaudrait pas la peine d’être évoquée, car la transition d’un ancien certificat vers un nouveau certificat est automatique. Le problème se trouve ici dans le fait que les clients ne sont pas mis à jour régulièrement et que si les clients ne sont pas mis à jour, la nouvelle autorité de certification qui remplace l’ancienne n’est pas téléchargée sur l’appareil. Il ne s’agit pas d’une erreur commise par Let’s Encrypt, mais simplement d’un problème de mise à jour des anciens appareils.

Quel impact réel ?

Il est difficile de dire l’impact exact que cette expiration aura sur les appareils concernés. Certains appareils pourraient toujours être en mesure d’établir une connexion avec certains sites internet si les certificats des serveurs ne renvoient pas à ISRG Root X1 ou DST Root CA X3.

« Étant donné la différence de taille relative entre Let’s Encrypt et AddTrust, j’ai le sentiment que l’expiration de la racine d’IdenTrust a le potentiel de causer plus de problèmes. Personne ne sait vraiment à quel point cela pourrait être un problème. […] Je ne sais pas ce qui se trouve sur le Web, et je ne sais pas non plus ce qui dépend de ces choses. Ce que je sais, en revanche, c’est qu’au moins quelque chose, quelque part, va se casser. »