À compter de septembre 2021, de nombreux sites web ne seront plus accessibles depuis un vieux smartphone Android. Il sera toutefois possible de contourner ce problème en utilisant Firefox.
Nous évoquions il y a quelques jours la décision d’Apple de mettre à jour un iPhone sept ans après sa sortie. Du côté d’Android, de très nombreux modèles ne disposent pas de la dernière version de l’OS de Google et les plus anciens risquent d’avoir une mauvaise surprise l’année prochaine. Le site Android Police rapporte que certains sites web vont devenir inaccessibles depuis un « vieux » smartphone Android à compter de septembre 2021. Le partenariat entre Let’s Encrypt et IdenTrust prend fin le 1er septembre 2021 et l’autorité de certification ne prévoit pas de renouveler cet accord de signature croisée.
Let’s Encrypt est l’une des principales autorités de certification au monde et 30 % des sites web utilisent ses certificats. Ces derniers sont utilisés pour assurer le passage d’un site en HTTPS, un protocole qui protège l’intégrité ainsi que la confidentialité des données et qui a succédé aux HTTP. « Il y a cinq ans, lors du lancement de Let’s Encrypt (…) Nous avons obtenu une signature croisée de la part d’IdenTrust. Leur [certificat] « DST Root X3 » existait depuis longtemps, et toutes les grandes plateformes logicielles lui faisaient déjà confiance : Windows, Firefox, macOS, Android, iOS, et une multitude de distributions Linux. Cette signature croisée nous a permis de commencer à émettre des certificats immédiatement, et de les rendre utiles à un grand nombre de personnes. Sans IdenTrust, Let’s Encrypt n’aurait peut-être jamais vu le jour et nous leur sommes reconnaissants de leur partenariat. Entre-temps, nous avons émis notre propre certificat racine (« ISRG Root X1″) et demandé que les principales plateformes logicielles lui fassent confiance », explique Let’s Encrypt. L’autorité de certification cherche en effet à prendre son indépendance depuis quelques années et entend profiter de la situation.
« Aujourd’hui, ces plates-formes logicielles [dont Android] font confiance à notre certificat racine depuis des années. Et le certificat racine DST Root X3 sur lequel nous nous sommes appuyés pour nous lancer va expirer – le 1er septembre 2021. Heureusement, nous sommes prêts à voler de nos propres ailes et à ne compter que sur notre propre certificat racine », ajoute l’autorité. Néanmoins, cette décision n’est pas sans conséquence pour plusieurs millions d’appareils et Let’s Encrypt rappelle que la fragmentation d’Android peut être un problème.
L’autorité de certification explique que tous les modèles équipés des systèmes d’exploitation Android 7.1.1 et précédents, privés du certificat ISRG Root X1, ne seront plus en mesure de consulter les sites qui utilisent ce certificat. Selon les calculs de l’autorité, 33,8 % des appareils Android pourraient présenter « des erreurs de certificat lorsque les utilisateurs visiteront des sites qui possèdent un certificat Let’s Encrypt ».
Le navigateur Firefox peut contourner ce problème
Face à la situation, Let’s Encrypt alerte et regrette de ne pas pouvoir améliorer la situation des mises à jour d’Android. L’autorité est consciente que ces vieux modèles ne seront plus mis à jour et recommande d’utiliser Firefox. Le navigateur libre présente en effet la particularité d’avoir son propre magasin de certificats racine, une piste que veut suivre son rival Google Chrome. « Ainsi, toute personne qui installe la dernière version de Firefox bénéficie d’une liste actualisée des autorités de certification de confiance, même si son système d’exploitation est obsolète », précise l’autorité. Il est important de rappeler que Let’s Encrypt est également proche de la Mozilla Foundation.
Il est probable que vous disposiez aujourd’hui d’un smartphone équipé d’une version plus récente d’Android (7.1.1 ou supérieure). Néanmoins, il n’est pas à exclure qu’un ancien modèle ou une tablette traîne dans vos tiroirs avec une version d’Android antérieure à Nougat (7.x). Cette version n’est plus supportée par Google et elle est susceptible de présenter des risques de sécurité.