Vous utilisez quotidiennement un iPhone, un smartphone Android, une console ou un téléviseur connecté d’ancienne génération ? Certains de vos appareils risquent d’être brutalement privés de connexion Internet à partir du 30 septembre 2021, met en garde le chercheur en sécurité informatique Scott Helme dans un billet publié sur son blog.
« Vous pourrez ou non avoir besoin de faire quoi que ce soit à ce sujet, mais je parie que certaines choses vont probablement ne plus fonctionner ce jour-là », prophétise Scott Helme.
Ce jour-là, un important certificat numérique de sécurité appelé IdentTrust DST Root CA X3 va expirer. Ce certificat permet de certifier un autre certificat extrêmement répandu, ISRG Root X1. Proposé par Let’s Encrypt, une autorité de certification née en 2015, ce protocole chiffre une importante partie des connexions réalisées sur le Word Wide Web.
QUELS APPAREILS SORTIS AVANT 2017 SONT CONCERNÉS ?
De nombreux appareils anciens s’appuient toujours sur IdentTrust DST Root CA X3 pour certifier ISRG Root X1. Dans ce contexte, ces terminaux vont devoir se mettre à jour pour continuer à profiter de certaines fonctionnalités d’Internet, comme regarder des vidéos sur Netflix.
Il y a de fortes chances que de nombreux appareils sortis avant 2017, soient affectés surtout si vous n’avez jamais installé de mise à jour du logiciel. Si votre terminal tourne toujours sous son logiciel d’usine, il y a des risques que vous perdiez l’accès à Internet. Fort heureusement, il est possible, dans la plupart des cas, d’éviter les défaillances en installant une mise à jour sur votre smartphone, votre téléviseur ou votre console.
Dans le cas d’un smartphone tournant sous Android, il est nécessaire d’installer Android 2.3.6 Gingerbread ou une version ultérieure pour conserver une connexion Internet complète. Dès 2024, ces téléphones devront passer à Android Nougat 7.1.1. D’après le chercheur, un tiers des téléphones Android en circulation est potentiellement concerné par l’expiration du certificat de Let’s Encrypt.
Si vous utilisez un Mac sous macOS 10.12.0 (ou une version antérieure) ou un iPhone sous iOS 9 (ou une version antérieure de l’OS), on vous conseille d’installer une mise à jour du firmware si celle-ci est disponible. Même son de cloche si vous utilisez une PlayStation 4 avec une version du firmware antérieure à 5.00 et les PC tournant sous Windows XP avec Service Pack 2 ou une itération antérieure.
Voici la liste complète des plateformes concernées par l’expiration du certificat de Let’s Encrypt :
Windows XP Service Pack 2
macOS 10.12.0
iOS 9
Android Gingerbread v2.3.6
Mozilla Firefox v2.0
Ubuntu 12.04
Debian squeeze / 6
Java 8 8u101
Java 7 7u111
NSS v3.11.9
Amazon FireOS (Silk Browser)
Cyanogen v10
Jolla Sailfish OS v1.1.2.16
Kindle v3.4.1
Blackberry 10.3.3
PS4 avec firmware antérieure au 5.00
Pour l’heure, il est encore difficile d’estimer l‘étendue des défaillances qui surviendront le 30 septembre. De nombreux appareils reposent en effet sur plusieurs certificats de sécurité numérique, ce qui pourrait permettre de limiter la casse. “Une chose que je sais, cependant, c’est qu’au moins quelque chose, quelque part va se briser”, met en garde Scott Helme.
Si votre appareil n’est pas en mesure de passer à une version supérieure, vous risquez de rencontrer des problèmes de connexion Internet en date du 30 septembre. Il existe cependant une solution de contournement pour continuer à se connecter à Internet : Firefox. Comme l’explique Let’s Encrypt sur son site web officiel, le navigateur web de Mozilla ne s’appuie pas sur les certificats de sécurité exploités par le système d’exploitation. Firefox se base plutôt sur ses propres certificats numériques pour chiffrer les connexions Internet.
Conscient des problèmes potentiels générés par l’abandon de IdentTrust DST Root CA X3, Let’s Encrypt a plusieurs fois préféré reporter la transition vers ISRG Root X1. Initialement, la transition d’un certificat numérique à un autre était prévu dans le courant de l’année dernière. L’opération avait alors été reportée en janvier 2021 avant d’être finalement organisée quelques mois plus tard. Utilisez-vous un appareil qui risque de se retrouver privé de connexion ? On attend votre témoignage dans les commentaires.
