Android : des millions de smartphones ne pourront plus accéder à certains sites web en 2021
Des millions de smartphones Android vont se retrouver privés de certains sites web dès l'année 2021. En effet, les téléphones tournant sous une version d'Android antérieure à Nougat 7.1.1 ne seront plus en mesure de consulter les sites qui s'appuient sur des certificats de Let’s Encrypt pour leurs connexions HTTPS. Explications.
Successeur du HTTP, le protocole HTTPS sécurise la communication entre l'internaute et le site visité via des certificats. Il empêche ainsi les pirates de pouvoir facilement récupérer et déchiffrer ce que vous transmettez ou consultez sur le site en question. Parmi les certificats les plus répandus du web, on trouve le DST Root X3, co-signés par Let's Encrypt et IdenTrust. Ce certificat doit essentiellement sa popularité à sa gratuité. “Cette signature croisée nous a permis d'émettre des certificats rapidement et de les rendre accessibles à de nombreux sites” explique Let's Encrypt dans un communiqué de presse publié ce 6 novembre.
En parallèle, l'autorité de certification a développé de son côté son propre certificat pour les sites HTTPS. En 2016, Let's Encrypt a ensuite demandé à ce que son propre certificat racine «ISRG Root X1» soit inclus dans tous les navigateurs et systèmes d'exploitation. Après des années de collaboration avec IdenTrust, Let's Encrypt a finalement décidé de tout miser sur son certificat «ISRG Root X1», présent au sein de l'OS Android depuis Nougat 7.1.1. Le partenariat de Let’s Encrypt avec l’autorité de certification IdenTrust expirera en effet le 1er septembre 2021.
Sur le même sujet : un milliard de smartphones et tablettes Android sont obsolètes
33,8% des smartphones Android seront privés de 30% des sites web dès l'année prochaine
De facto, tous les appareils cantonnés à une version d'Android ultérieure à Nougat 7.1.1, et équipés du certificat DST Root X3, ne pourront plus consulter les sites en HTTPS qui utilisent l'ISRG Root X1. D'après Let’s Encrypt, 30% des sites web s'appuient sur le certificat signé avec IdenTrust. “Certains logiciels qui n’ont pas été mis à jour depuis 2016 (à peu près lorsque notre certificat a été acceptée par de nombreux programmes) ne font toujours pas confiance à notre certificat racine, ISRG Root X1” détaille Let's Encrypt dans son communiqué.
33,8% des smartphones Android en circulation dans le monde tournent sous une version antérieure à Nougat 7.1.1. In fine, ces millions de smartphones ne seront plus en mesure d'accéder à 30% des sites web dès le 21 septembre 2021. Les téléphones afficheront “des erreurs de certificat lorsque les utilisateurs visitent des sites disposant d'un certificat Let’s Encrypt”, détaille l'autorité de certification. Bref, vous serez tout simplement bloqués dès votre arrivée sur le site. D'après Let's Encrypt, l'abandon du DST Root X3 privera aussi les utilisateurs de certaines applications Android qui se connectent à un site web en HTTPS pour fonctionner. Là encore, si le site s'appuie sur le certificat signé par IdenTrust, l'application ne pourront plus fonctionner sur le smartphone ou la tablette Android.
Let's Encrypt recommande d'installer Firefox
Conscient que de nombreux utilisateurs ne pourront pas investir dans un nouveau smartphone d'ici septembre 2021, Let's Encrypt propose une solution de contournement : installer Firefox, le navigateur web de Mozilla. Partenaire de Let's Encrypt, Mozilla utilise “sa propre liste de certificats racine de confiance” dont l'ISRG Root X1. Chrome, Opera et les autres navigateurs web s'appuient quant à eux sur les certificats intégrés à l'OS mobile. “Firefox est actuellement unique parmi les navigateurs, toute personne qui installe la dernière version du navigateur bénéficie d'une liste à jour d'autorités de certificats, même si son système d'exploitation est complètement obsolète” déclare Let's Encrypt. Par contre, l'autorité ne propose pas de solution pour les applications Android qui se retrouvent inutilisables.
De notre côté, on vous invite à envisager progressivement l'achat d'un nouveau smartphone. Si votre téléphone tourne encore sur une version d'Android antérieure à Nougat, il est obsolète et à la merci des pirates. En effet, Google ne déploie plus de mises à jour de sécurité sur les smartphones et tablettes sous Android Nougat 7.0 (déployé en 2016) ou une version antérieure. Sans mise à jour de sécurité, votre smartphone est plus susceptible d'être infecté par un malware. Il n'est pas rare qu'un logiciel malveillant prenne les utilisateurs d'un téléphone Android pour cible afin d'extorquer des données personnelles ou de l'argent.
Utilisez-vous encore un smartphone cantonné à Android Nougat ? Allez-vos changer de smartphone suite à l'annonce de Let's Encrypt ? On attend votre avis dans les commentaires ci-dessous.
Source : Let’s Encrypt