Le 30 septembre, de nombreux appareils pourraient ne plus avoir accès à Internet

Écrit par Guillaume
Publié le : {{ dayjs(1632758453*1000).local().format("L").toString()}}
Suivez-nous

L’expiration d’un des certificats de sécurité les plus utilisés pourrait entraîner d’importants dysfonctionnements.

Comme de nombreux utilisateurs, chaque jour votre smartphone vous sert à vous connecter au Net pour installer une nouvelle application, consulter la météo ou les résultats sportifs du week-end. Un geste machinal qui pourrait bien ne plus être possible à compter du 30 septembre prochain, rendant le précieux outil tout de suite beaucoup moins intéressant. Le problème est mis en lumière par Scott Helme, chercheur en sécurité informatique, à travers un long message publié sur son blog. Il précise que le 30 septembre prochain, un certificat majeur va expirer et indique « Vous pouvez ou non avoir besoin de faire quoi que ce soit à propos de cette expiration, mais je parie que certaines choses vont probablement ne plus marcher ce jour-là ».

Un message volontiers catastrophiste qui ramènera les plus anciens d’entre nous au fameux « bug de l’an 2000 » – lequel n’a heureusement pas eu de conséquences si dramatiques – et qu’il convient d’expliquer plus en détail. Tout part effectivement du certificat de sécurité IdenTrust DST Root CA X3 de l’autorité de certification Let’s Encrypt. Ce certificat est utilisé pour vérifier un autre certificat extrêmement répandu, ISRG Root X1. Problème, de nombreux appareils un peu anciens utilisent toujours ce certificat pour valider leurs connexions au Net. Or, le 30 septembre prochain, ledit certificat va expirer et si l’on en croit Scott Helme, entraîner une perte d’accès Internet pour les machines concernées.

Justement, quelles machines sont concernées ? En réalité, il s’agit essentiellement d’appareils commercialisés avant 2017 et surtout ceux qui ne sont pas mis à jour régulièrement. Scott Helme précise que pour les smartphones tournant sous Android, le problème touchera les Android 2.3.6 – Gingerbread – ou plus anciens. Cela peut sembler terriblement archaïque aujourd’hui, mais Scott Helme estime qu’un tiers des téléphones sous Android pourraient en réalité être concernés : toute la question étant de savoir si les mises à jour système ont été réalisées avec soin. Plus gênant encore, même si nous avons cette fois le temps : à compter de 2024, c’est Android 7.1.1 Nougat qui sera nécessaire pour conserver la connexion.

Les téléphones Android ne sont pas les seuls concernés et Scott Helme évoque aussi, pêle-mêle, les ordinateurs Mac sous macOS 10.12.0 ou antérieur et les iPhone sous iOS 9 ou antérieur. Il parle aussi d’appareils auxquels on pense forcément moins comme les PlayStation 4 si le micrologiciel de la console est antérieur à la version 5.00. Sur son blog, Scott Helme fait la liste de toutes les machines, toutes les plateformes concernées et s’il reconnaît ne pas pouvoir estimer l’ampleur du problème, il est persuadé que de (trop) nombreux usagers seront forcément touchés. L’une des solutions possibles si aucune mise à jour n’est disponible pour votre appareil, serait l’utilisation de navigateurs web comme Firefox qui utilisent leurs propres certificats de sécurité. Bien sûr, les détenteurs de matériels relativement récents ne risquent pas grand-chose.