Le 30 septembre 2021 à 16h01 et 15 secondes, le certificat de sécurité "DST Root CA X3" va expirer avec pour conséquence d'empêcher l'accès à certaines pages web. En pratique, ce certificat permet de vérifier que votre connexion à un site est sûre. Il vous autorise alors à consulter la page. Sans lui, vous êtes bloqué.
Le chercheur en sécurité informatique Scott Helme s'en inquiète. "Une fois que cette autorité de certification root a expiré, les clients, comme les navigateurs Web, ne feront plus confiance aux certificats émis par cette autorité de certification", écrit-il sur son blog.
Avec sa disparition, les appareils sortis avant 2017 risquent d'avoir des problèmes pour surfer sur internet. Les smartphones évidemment, mais aussi les frigos ou les radio-réveils qui donnent la météo. Pas de panique, nous rassurent les experts. Il suffit de faire une mise à jour en cas de problème.
Mettre son appareil à jour
"Si votre appareil est toujours mis à jour par le fabricant, a priori vous n'allez pas rencontrer de problèmes", explique Sergio Alves Domingues, directeur technique pour l'entreprise de sécurité informatique SCRT. Concrètement, les modèles de plus de 10 ans, qui ne sont plus maintenus par leur fabricant, risquent d'avoir des soucis.
Un exemple: pour éviter d'avoir un iPhone bloqué, il faut installer au minimum iOS 10. Et cette mise à jour est impossible pour les iPhones 4. Idem pour les vieux modèles Android ou les consoles de jeux comme la PS3. Scott Helme dresse une liste des plate-formes qui auront dorénavant des difficultés à se connecter aux pages web:
-
Windows < XP SP3
-
macOS < 10.12.1
-
iOS < 10 (L'iPhone 5 est le dernier modèle à pouvoir installer l'iOS 10)
-
Android < 7.1.1
-
Mozilla Firefox < 50
-
Ubuntu < 16.04
-
Debian < 8
-
Java 8 < 8u141
-
Java 7 < 7u151
-
NSS < 3.26
-
OpenSSL <= 1.0.2
-
Amazon FireOS (Silk Browser)
La parade Firefox
Pourquoi avoir fixé une date limite pour l'utilisation de ce certificat? Simplement pour éviter qu'en cas de corruption, il soit utilisé de façon malveillante pendant une trop longue période. Mais pour Steven Meyer, expert en cybersécurité et directeur de ZENData, cette affaire n'est que la pointe de l'iceberg.
"Un appareil qui n'a pas reçu de mise à jour depuis des années peut avoir des vulnérabilités s'il est connecté sur internet. Il peut être utilisé de façon malveillante par des cybercriminels ou des hackers."
Il reste tout de même une ultime parade pour continuer de surfer: utiliser le navigateur Firefox pour aller sur Internet. Il ne devrait pas rencontrer de problèmes puisqu'il possède son propre système de certification.
Pascal Wassmer