Des millions d’iPhones, de téléviseurs et d’autres appareils pourraient être mis hors ligne la semaine prochaine – voici pourquoi [mise à jour].

MISE À JOUR pour ajouter des serveurs Windows comme une autre classe d’appareils qui pourraient avoir des problèmes de connexion la semaine prochaine. Les vieux Mac, iPhones, consoles de jeux PlayStation 3 et Nintendo 3DS, un nombre inconnu de téléviseurs intelligents, décodeurs et autres appareils « intelligents », et même certaines PlayStation 4 pourraient perdre une partie de leur connectivité Internet la semaine prochaine. En effet, un certificat numérique largement utilisé pour vérifier les connexions Internet sécurisées expire le 30 septembre et des millions d’appareils plus anciens ne pourront pas se mettre à jour pour installer de nouveaux certificats. 

• Chaque Mac peut être piraté par cette nouvelle faille, et il n’y a pas encore de solution
• Le nouveau PC tout-en-un de 34 pouces de HP a une longueur d’avance sur l’iMac d’Apple
• Plus : Windows 11 reçoit une mise à jour pour le rendre meilleur pour les utilisateurs d’Android

Par conséquent, de nombreuses activités qui nécessitent une connexion Internet sécurisée – de regarder Netflix à la vérification de vos e-mails en passant par la lecture de sites Web réguliers – peuvent ne pas fonctionner sur des appareils plus anciens. Si cela vous semble familier, c’est parce que nous avons reçu un avertissement en juin 2020 lorsque le chercheur et consultant en sécurité Scott Helme en a averti sur son blog. Plus tard en 2020, il a été estimé qu’un tiers de tous les téléphones Android  pourraient être mis hors ligne. « Vous pouvez ou non avoir besoin de faire quoi que ce soit à ce sujet », a écrit Helme sur son blog dans une mise à jour cette semaine, « mais je parie que certaines choses vont probablement se casser ce jour-là [30 septembre]. »

Ce que vous pouvez faire pour garder vos anciens appareils en ligne

Heureusement pour ces anciens appareils Android, une solution de contournement a été conçue  pour les maintenir opérationnels jusqu’en septembre 2024 tant qu’ils ont Android 2.3.6 Gingerbread ou une version ultérieure. (Après 2024, vous aurez besoin d’au moins Nougat 7.1.1.) Mais cela n’aide pas les Mac exécutant macOS 10.12.0 ou une version antérieure, les iPhones et iPad exécutant iOS 9 ou une version antérieure, les consoles PlayStation 4 exécutant des versions de firmware antérieures à 5.00 et les anciens PC exécutant Windows XP avec Service Pack 2 ou antérieur. Tous sont susceptibles d’être concernés, selon cette liste d’appareils concernés  publiée par l’autorité de certification numérique Let’s Encrypt. Si vous possédez l’un de ces appareils et que vous pouvez mettre à niveau le système d’exploitation ou le micrologiciel, faites-le cette semaine. Par exemple, tout PC exécutant Windows XP SP2 peut être mis à niveau vers XP SP3, ce qui résoudra le problème. Les Mac n’ont besoin que d’une mise à niveau vers 10.13 High Sierra, et n’importe quel iPhone 5 ou version ultérieure peut installer iOS 10. Les PS4 sont déjà à la version 9.00 , publiée il y a quelques jours à peine. Les consoles PlayStation 3 peuvent ou non être mises à niveau. Sony a publié la mise à jour 4.88  du firmware PS3 pour la PS3 en juin 2021, près de 15 ans après la première mise à disposition de la console. Nous ne savons pas ce qu’il y a dans la mise à jour du micrologiciel – Sony vient de dire qu’elle apporte « des fonctionnalités supplémentaires, une convivialité améliorée et une sécurité renforcée » – mais il est possible que cela résolve ce problème de certificat. Si vous ne pouvez pas mettre à niveau votre Mac, PC ou iPhone, vous pouvez installer le navigateur Web Firefox pour maintenir un certain niveau d’accès à Internet, bien que les applications autonomes puissent ne pas fonctionner. Contrairement aux autres navigateurs, Firefox ne dépend pas du système d’exploitation de l’appareil pour ses certificats de sécurité – il apporte les siens. En ce qui concerne la télévision intelligente, les réfrigérateurs intelligents, les concentrateurs de maison intelligente, les routeurs Wi-Fi domestiques, etc., c’est difficile à dire. Il y a de fortes chances que de nombreux appareils sortis avant 2017 puissent être affectés, surtout s’ils n’ont jamais reçu de mise à jour du firmware.  Donc, si vous le pouvez, ouvrez ou téléchargez les manuels d’instructions fournis avec vos appareils et essayez de mettre à niveau le micrologiciel ou le système d’exploitation. 

Mais qu’est ce qu’il se passe ici?

C’est compliqué, mais tous ces milliards de connexions Internet sécurisées qui ont lieu chaque seconde dans le monde dépendent de ce que l’on appelle généralement une « chaîne de confiance ».  Lorsqu’un serveur – disons un site Web – se connecte à un client comme votre PC, chacun présente des certificats numériques affirmant son identité. Pour cette raison, votre navigateur sait qu’il se connecte à Chase Bank et non à une ferme de pirates informatiques en Russie.  Mais comment savez-vous que ces certificats numériques sont valides ? Eh bien, les certificats dépendent de la cryptographie à clé publique-privée pour prouver qu’il n’y a pas de contrefaçon, mais c’est un autre problème. Ce qui compte également, c’est qu’une autorité supérieure confirme si ce certificat a bien été délivré à la Chase Bank. Et une autre autorité se porte garante de cette autorité, et ainsi de suite. Finalement, vous atteignez la fin de la ligne et obtenez ce qu’on appelle un certificat racine. Ce sont l’épine dorsale des connexions Web cryptées. Les émetteurs de certificats racines n’ont personne de plus haut pour se porter garant, car il s’agit de l’autorité de confiance ultime et les certificats racines peuvent être valides pendant de nombreuses années.

Bon alors….

Mais comme tous les certificats, les certificats racines finissent par expirer. Et un très important, appelé DST Root CA X3, expire le 30 septembre 2021. Ce certificat racine est doublement important car il « signe » ou valide un autre certificat racine qui est encore plus largement utilisé et appelé ISRG Root X1. ISRG Root X1 est contre-signé parce que l’autorité qui l’a émis, Let’s Encrypt, était toute nouvelle en 2015 et, en tant que telle, n’était pas largement approuvée par les navigateurs et les appareils. Il a donc obtenu l’ancien et le plus largement accepté DST Root CA X3 pour en témoigner et dire essentiellement aux appareils que « si vous me faites confiance, vous pouvez également faire confiance à celui-ci ».  Techniquement parlant, ISRG Root X1 fonctionnait comme un certificat « intermédiaire » tandis que DST Root CA X3 agissait comme certificat racine. Depuis 2015, Let’s Encrypt s’est rapidement développé pour devenir la plus grande autorité de certification au monde. L’une des principales raisons est qu’il est gratuit. Depuis 2015, la plupart des connexions Web sont également devenues entièrement cryptées, et Let’s Encypt en est une grande raison. Par conséquent, le tout premier certificat racine émis par Let’s Encrypt, ISRG Root X1, est très largement utilisé pour garantir des milliers, voire des millions, de certificats à plus court terme utilisés par les sites Web et les serveurs.  En fait, jusqu’à la sortie de l’ISRG Root X2 en septembre 2020, c’était le seul certificat racine que Let’s Encrypt avait émis (et il signe même le nouveau certificat ). De nombreux appareils plus récents ont reçu des mises à jour qui leur permettent de faire confiance au certificat racine ISRG Root X1, ce qui est bien car il est valide jusqu’en juin 2035.  Mais beaucoup d’appareils plus anciens s’appuient toujours sur le certificat racine de chant croisé, DST Root CA X3, pour se porter garant de l’ISRG Root X1. Et c’est un problème car lorsque DST Root CA X3 expire le 30 septembre 2021, ces appareils ne feront plus confiance à ISRG Root X1 ou aux milliers de certificats en aval qui en dépendent non plus.

Vais-je perdre toutes les connexions Internet ?

Il est difficile de dire ce que cela signifiera pour les appareils qui n’ont pas été mis à niveau pour faire confiance à ISRG Root X1. Il existe quelques centaines de certificats racine valides, et la plupart des appareils et navigateurs Web en prennent en charge au moins quelques dizaines.  De nombreux appareils plus anciens peuvent toujours être en mesure d’établir au moins quelques connexions Web si ces certificats de serveur individuels ne renvoient pas à ISRG Root X1 ou DST Root CA X3. Cependant, ISRG Root X1 prend également en charge la version 1.02 d’OpenSSL , une bibliothèque de logiciels largement utilisée (car gratuite) qui établit des connexions Web sécurisées. La version 1.02 d’OpenSSL a été publiée au début de 2015, et de nombreux appareils et systèmes d’exploitation publiés en 2015 et 2016 – tels que iOS 9 et macOS 10.12 Sierra – en dépendent. Encore une fois, nous ne saurons pas vraiment ce qui va se passer avant que cela ne commence à se produire le 30 septembre. Mais Scott Helme pense que quelque chose se produira certainement. « Je ne sais pas ce qui circule sur le Web, et je ne sais pas non plus ce qui dépend de ces choses [chaque certificat] », a écrit Helme sur son blog. « Une chose que je sais, cependant, c’est qu’au moins quelque chose, quelque part va se briser. »

Mise à jour : les serveurs Windows peuvent également être affectés

Le 23 septembre, Helme a mis à jour son article de blog pour noter que « J’ai ajouté IIS à la liste » incertain « , car certains rapports suggèrent qu’une intervention manuelle est nécessaire pour une transition en douceur. » IIS est Internet Information Services, le logiciel de serveur Web largement utilisé par MIcrosoft. Bien qu’IIS, qui a fait ses débuts en 1995, reçoive des mises à jour et des mises à niveau régulières, certains des abonnés de Helme sur Twitter ont souligné que les serveurs Windows qui fonctionnent depuis de nombreuses années continueront d’utiliser les mêmes « magasins » de certificats, même s’ils reçoivent des mises à jour logicielles.

So I actually did a bunch of naive testing on Windows servers (to test if the expiry would be a problem) and found that the answer (for windows) was a resounding maybe. Moving the R3 issued by DST Root CA X3 into untrusted helps force windows to serve the R3 to ISRG X1 chain.

— Christopher Cook (@webprofusion) September 21, 2021

Ainsi, un serveur IIS qui fonctionne depuis, disons, 2010, peut toujours avoir les mêmes certificats qu’alors, même s’il a été mis à jour plusieurs fois. Si tel est le cas, il rencontrera des problèmes de connexion à certains appareils clients (tels que les PC et les smartphones) le 30 septembre. Une affiche a utilement publié des instructions sur Github sur la façon d’effacer les anciens certificats.

IIS needs special attention as it will serve the old chain unless you forcefully remove the intermediate R3 cert that’s about to expire as well. Here’s how to do it: https://t.co/Gb3D4qKLxX

— Seth Kusiak (@Collab_Seth) September 21, 2021

Aucune de ces informations ne devrait concerner directement l’internaute moyen, mais si certains de vos sites ou services en ligne préférés s’obscurcissent le 30 septembre, c’est peut-être pourquoi.