Actualités procab – 05 Jan, 2021 | par Procab

Des millions de smartphones Android n’auront plus accès à des sites web à partir de 2021

C’est officiel, des millions de téléphones portables tournant sous une version d’Android antérieure à Nougat 7.1.1 (lancée en 2016) ne pourront plus accéder à certains sites dès 2021. Il s’agit de tous les sites internet qui utilisent des certificats de Let’s Encrypt pour les connexions https. Pourquoi un tel changement ? Y a-t-il des solutions pour contourner ce blocage ? Voyons les réponses !

Qui est Let’s Encrypt ?

Puisque ce bouleversement vient d’une décision prise par Let’s Encrypt, nous allons d’abord vous expliquer de qui il s’agit.

Let’s Encrypt est une autorité de certification fondée vers la fin de l’année 2015 par Internet Security Research Group (ISRG). Elle fournit gratuitement des certificats X.509 pour le protocole cryptographique TLS. Pour cela, elle déploie un processus automatisé pour sécuriser des sites web. Selon les statistiques enregistrées en décembre 2019, Let’s Encrypt fournit 54,67% des certificats TLS dans le monde.

Le but de Let’s Encrypt est de démocratiser l’utilisation des connexions sécurisées sur la toile. Le projet permet de gérer la mise en place et la maintenance du chiffrement TLS avec nettement plus de facilité. En clair, il permet de se passer du processus manuel incluant le paiement, la configuration du serveur web, les mails de validation ainsi que la gestion de l’expiration des certificats. Sur un serveur GNU/Linux, par exemple, l’exécution de deux commandes suffit pour paramétrer le chiffrement https, mais aussi l’acquisition et l’installation de certificats. Tout cela prend moins d’une minute.

Pourquoi des smartphones Android n’accèderont plus aux sites en https ?

La fin du partenariat entre Let’s Encrypt et IdenTrust

Let’s Encrypt a conclu un partenariat avec IdenTrust pour le certificat DST Root X3. À savoir qu’IdenTrust est également une autorité de certification de renom qui fournit des certificats numériques aux entreprises, aux prestataires de soins de santé, aux institutions financières et aux agences gouvernementales. Le DST Root X3 a été utilisé par Let’s Encrypt pour le protocole de transmission https. Le https utilise un certificat d’authentification pour une meilleure sécurisation de la communication entre l’internaute et le site web qu’il visite. Son principal objectif est d’empêcher les pirates de récupérer et de déchiffrer les données que vous transmettez ou consultez sur le site. Le certificat DST Root X3 est gratuit.

Let’s Encrypt a annoncé que son partenariat avec IdenTrust prendra fin le 1er septembre 2021. Le groupe a décidé de ne pas renouveler la signature croisée avec IdenTrust car il est parvenu à élaborer son propre certificat racine nommé ISRG Root X1.

Let’s Encrypt n’aura donc plus besoin du DST Root X3 d’IdenTrust. L’autorité de certification a déjà demandé une approbation de son nouveau certificat racine par les plateformes logicielles fournissant des systèmes d’exploitation tels que Windows, Firefox, macOS, iOS et Android.

Une question d’incompatibilité

Let’s Encrypt a expliqué que le déploiement de son ISRG Root X1 entraînera des problèmes de compatibilité. Il s’avère que des logiciels n’ayant pas été mis à jour depuis 2016 ne fonctionnent pas avec son nouveau certificat numérique. Cela inclut naturellement toutes les versions d’Android qui datent de 2016 et d’avant. En d’autres termes, ce sont les versions d’Android antérieure à Nougat 7.1.1. Let’s Encrypt fournit gratuitement des certificats TLS à plus de 180 millions de sites web dans le monde. Ces sites ne seront donc plus accessibles aux téléphones et aux tablettes tactiles fonctionnant sous Android 7.1.1 ou sous une version antérieure.

Quels sont les smartphones concernés ?

Comme nous l’avons déjà spécifié à plusieurs reprises, les victimes du lancement du nouveau certificat numérique de Let’s Encrypt sont les smartphones, mais aussi les tablettes numériques tournant sous une version d’Android ultérieure à Nougat 7.1.1. En effet, les appareils mobiles usant du certificat DST Root X3 pour consulter les sites en https ne pourront plus le faire à partir de septembre 2021 car les sites en question basculeront vers l’ISRG Root X1. Toujours selon Let’s Encrypt, 30% des sites internet (plus de 180 millions) utilisent le certificat mis en place avec IdenTrust.

D’un autre côté, 33,8% des smartphones Android opérationnels actuellement dans le monde fonctionnent sous une version ultérieure à Nougat 7.1.1. Cela fait des centaines de millions de téléphones portables qui seront privés de l’accès au 30% des sites comme il est mentionné plus haut. Ces terminaux afficheront alors la notification suivante :

« Des erreurs de certificat lorsque les utilisateurs visitent des sites disposant d’un certificat Let’s Encrypt. »

Par conséquent, si vous utilisez un smartphone ou une tablette sous une version antérieure à Nougat, vous serez bloqué dès votre arrivée sur un site en https utilisant le nouveau certificat ISRG Root X1. Par ailleurs, la fin du partenariat entre les deux autorités de certification empêchera les utilisateurs des smartphones concernés d’utiliser des applications Android qui doivent se connecter à un site en https pour fonctionner.

Quelles sont les solutions ?

L’achat d’un nouveau smartphone

La solution la plus évidente est de changer de smartphone. Vous avez une sorte de deadline alors, vous pouvez tout à fait investir doucement dans l’achat d’un nouvel appareil d’ici septembre 2021 si celui que vous avez actuellement tourne encore sous une version d’Android ultérieure à Nougat 7.1.1. De toutes les manières, Google n’effectue plus de mise à jour de sécurité sur tous les terminaux sous Android 7.0 et les versions antérieures. Ils sont donc obsolètes et plus susceptibles d’être piratés. D’ailleurs, de nombreux logiciels malveillants attaquent souvent ces appareils pour arnaquer leurs propriétaires. Vous n’avez pas forcément à dépenser une somme conséquente sur un smartphone dernier cri. Il suffit d’acheter un modèle sous une version d’Android plus récente que la Nougat.

Installer Firefox Mobile

Si, pour une raison ou une autre, vous ne souhaitez pas vous séparer de votre smartphone actuel, la solution que Let’s Encrypt vous propose est d’installer le navigateur de Mozilla, Firefox Mobile. Les deux établissements sont en partenariat et Mozilla dispose de sa propre liste de certificats racine qui sont tous fiables. L’ISRG Root X1 en fait déjà partie. C’est la dernière version de Firefox pour Android qu’il faut télécharger et installer sur votre téléphone ou tablette numérique. Elle est disponible gratuitement sur Play Store. En revanche, Let’s Encrypt n’a aucune solution pour les applications qui vous seront alors inutilisables.

Demandez conseil auprès de nos experts SEO

Cookie	Description
cookielawinfo-checkbox-necessary	Ce cookie est défini par le plugin Consentement des cookies de GDPR. Les cookies sont utilisés pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-non-necessary	Ce cookie est défini par le plugin Consentement des cookies de GDPR. Les cookies sont utilisés pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Non Obligatoire".
JSESSIONID	Utilisé par les sites écrits en JSP. Cookies de session de plate-forme à usage général qui sont utilisés pour maintenir l'état des utilisateurs lors des demandes de pages.
PHPSESSID	Ce cookie est natif des applications PHP. Le cookie est utilisé pour stocker et identifier un identifiant de session unique de l'utilisateur afin de gérer la session de l'utilisateur sur le site web. Le cookie est un cookie de session et est supprimé lorsque toutes les fenêtres du navigateur sont fermées.
viewed_cookie_policy	Le cookie est défini par le plugin Consentement aux cookies de GDPR et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation des cookies. Il ne stocke aucune donnée personnelle.

Cookie	Description
_ga	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données relatives aux visiteurs, aux sessions, aux camapagnes et pour garder une trace de l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.
_gat_UA-10557947-2	Il s'agit d'un cookie de type modèle défini par Google Analytics, où l'élément modèle du nom contient le numéro d'identité unique du compte ou du site web auquel il se rapporte. Il semble être une variante du cookie _gat qui est utilisé pour limiter la quantité de données enregistrées par Google sur les sites web à fort trafic.
_gid	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur l'utilisation d'un site web par les visiteurs et permet de créer un rapport analytique sur le fonctionnement du site web. Les données collectées comprennent le nombre de visiteurs, la source d'où ils viennent et les pages visitées sous une forme anonyme.