Plus de connexion à Internet le 30 septembre pour les smartphones ? Pourquoi cette histoire est très exagérée

Le jeudi 30 septembre, les smartphones Android de quatre ou cinq ans d’âge vont-ils perdre leur connexion Internet ? C’est en tout cas l’information inquiétante qui, partie d’un post sur le blog d’un chercheur en sécurité britannique, Scott Helme, a cheminé ces derniers jours jusque dans certains médias français et étrangers.

Le responsable de cette coupure, un certificat numérique de sécurité au nom alambiqué : « DST Root CA X3 ». Un certificat numérique de sécurité, c’est une sorte de passeport informatique qui permet aux navigateurs et autres applications de nos smartphones, lorsqu’ils cherchent à se connecter à Internet, de vérifier que la connexion est sûre et cryptée, afin de l’autoriser ou de la bloquer. Ce certificat de sécurité-là n’est pas le seul à être employé sur les smartphones, mais c’est l’un des plus populaires.

L’une des versions de « DST Root CA X3 », fournie par l’autorité de certification gratuite Lets Encrypt, expirera bien fin septembre. Or beaucoup de smartphones anciens ne disposent pas du certificat récent censé le remplacer ; la faute aux fabricants de téléphones, qui cessent souvent d’offrir les mises à jour de sécurité au bout de deux ou trois ans. Sans certificat valide, ces smartphones risqueraient de ne pas pouvoir accéder à certains sites Internet, et certaines applications auraient du mal à fonctionner.

Une parade efficace

Heureusement, les conséquences seront moins gênantes qu’on pourrait le craindre. Une parade a été trouvée par Lets Encrypt : au moment-clé où le smartphone vérifie la connexion cryptée, un certificat ancien est joint au plus récent. Comme l’ancien est connu des vieux smartphones, il sert en quelque sorte à « cosigner » la permission de connexion.

« Cette astuce fonctionne bien dans la plupart des cas », assure Kevin Bocek, vice-président chez Venafi, société de services spécialisée dans les certificats. Seuls les smartphones vieux de plus de neuf ans et équipés d’une version d’Android antérieure à Honeycomb (3.0) n’en bénéficient pas : ce sont eux qui subiront de fréquents problèmes de connexion. Mais ces smartphones représentent moins de 0,2 % des mobiles Android en circulation.

Pour ces derniers, une solution de contournement existe : télécharger une version récente de Firefox, un navigateur qui, fait rare, « possède son propre trousseau de certificats de sécurité », selon Nicolas Greneche, ingénieur de recherche en informatique à Paris-13, joint par Le Monde.

Quelques exceptions

Reste que, malgré la stratégie de contournement mise en place par Lets Encrypt, les smartphones sortis entre 2012 et 2018 pourraient tout de même rencontrer quelques soucis de connexion eux aussi, même si cela se produit beaucoup plus occasionnellement. « La faute aux gestionnaires de sites Internet », pointe Kevin Bocek :

« Ce sont eux qui sont censés programmer les ordinateurs qui hébergent leurs sites Web pour se connecter régulièrement à Lets Encrypt afin de récupérer les règles d’authentification les plus récentes. S’ils ne le font pas, l’astuce de contournement de Lets Encrypt ne fonctionne pas, la connexion bloque. »

Il est difficile de savoir combien de sites et d’applications souffriront de gestionnaires trop laxistes et seront inaccessibles aux téléphones sortis entre 2012 et 2018, mais les problèmes seront « probablement assez rares », estime Kevin Bocek. Si l’expert est inquiet, ce n’est pas pour les particuliers mais plutôt pour les entreprises, qui travaillent encore parfois sur des ordinateurs d’un certain âge.

Car le problème du certificat périmé ne touche pas que des smartphones, mais toute une série d’autres appareils anciens, dont des PC équipés d’une version de Windows remontant à 2004 ou avant, comme Windows XP SP2. « Cela pourrait perturber gravement certaines entreprises, craint-il. Il est important que les services informatiques de ces sociétés se penchent rapidement sur la question. »