Des millions d’iPhone, de smartphones Android et de consoles risquent d’être coupés d’Internet ce 30 septembre

Des millions d'iPhone, de smartphones Android, de consoles (PS4, PS3…) et de téléviseurs connectés risquent d'être brutalement privés de connexion Internet à partir du 30 septembre 2021. Un certificat de sécurité très répandu s'apprête en effet à expirer, laissant de nombreux appareils non mis à jour dans l'incertitude. 

Vous utilisez quotidiennement un iPhone, un smartphone Android, une console ou un téléviseur connecté d'ancienne génération ? Certains de vos appareils risquent d'être brutalement privés de connexion Internet à partir du 30 septembre 2021, met en garde le chercheur en sécurité informatique Scott Helme dans un billet publié sur son blog. “Vous pourrez ou non avoir besoin de faire quoi que ce soit à ce sujet, mais je parie que certaines choses vont probablement ne plus fonctionner ce jour-là”, prophétise Scott Helme.

Ce jour là, un important certificat numérique de sécurité appelé IdentTrust DST Root CA X3 va expirer. Ce certificat permet de certifier un autre certificat extrêmement répandu, ISRG Root X1. Proposé par Let's Encrypt, une autorité de certification née en 2015, ce protocole chiffre une importante partie des connexions réalisées sur le Word Wide Web.

Lire aussi : Une tempête solaire risque de provoquer une “apocalypse d’Internet” dès 2023

Quels appareils sortis avant 2017 sont concernés ?

De nombreux appareils anciens s'appuient toujours sur IdentTrust DST Root CA X3 pour certifier ISRG Root X1. Dans ce contexte, ces terminaux vont devoir se mettre à jour pour continuer à profiter de certaines fonctionnalités d'Internet, comme regarder des vidéos sur Netflix.

Il y a de fortes chances que de nombreux appareils sortis avant 2017 soient affectés surtout si vous n'avez jamais installé de mise à jour du logiciel. Si votre terminal tourne toujours sous son logiciel d'usine, il y a des risques que vous perdiez l'accès à Internet. Fort heureusement, il est possible, dans la plupart des cas, d'éviter les défaillances en installant une mise à jour sur votre smartphone, votre téléviseur ou votre console.

Dans le cas d'un smartphone tournant sous Android, il est nécessaire d'installer Android 2.3.6 Gingerbread ou une version ultérieure pour conserver une connexion Internet complète. Dès 2024, ces téléphones devront passer à Android Nougat 7.1.1. D'après le chercheur, un tiers des téléphones Android en circulation sont potentiellement concernés par l'expiration du certificat de Let's Encrypt.

Si vous utilisez un Mac sous macOS 10.12.0 (ou une version antérieure) ou un iPhone sous iOS 9 (ou une version antérieure de l'OS), on vous conseille d'installer une mise à jour du firmware si celle-ci est disponible. Même son de cloche si vous utilisez une PlayStation 4 avec une version du firmware antérieure à 5.00 et les PC tournant sous Windows XP avec Service Pack 2 ou une itération antérieur.

Voici la liste complète des plateformes concernées par l'expiration du certificat de Let's Encrypt :

• Windows XP Service Pack 2
• macOS 10.12.0
• iOS 9
• Android Gingerbread v2.3.6
• Mozilla Firefox v2.0
• Ubuntu 12.04
• Debian squeeze / 6
• Java 8 8u101
• Java 7  7u111
• NSS v3.11.9
• Amazon FireOS (Silk Browser)
• Cyanogen  v10
• Jolla Sailfish OS v1.1.2.16
• Kindle v3.4.1
• Blackberry 10.3.3
• PS4 avec firmware antérieure au 5.00

Pour l'heure, il est encore difficile d'estimer l‘étendue des défaillances qui surviendront le 30 septembre. De nombreux appareils reposent en effet sur plusieurs certificats de sécurité numérique, ce qui pourrait permettre de limiter la casse. “Une chose que je sais, cependant, c'est qu'au moins quelque chose, quelque part va se briser”, met en garde Scott Helme.

En cas de panne le 30 septembre, tournez-vous vers Firefox

Si votre appareil n'est pas en mesure de passer à une version supérieure, vous risquez de rencontrer des problèmes de connexion Internet en date du 30 septembre. Il existe cependant une solution de contournement pour continuer à se connecter à Internet : Firefox. Comme l'explique Let's Encrypt sur son site web officiel, le navigateur web de Mozilla ne s'appuie pas sur les certificats de sécurité exploités par le système d'exploitation. Firefox se base plutôt sur ses propres certificats numériques pour chiffrer les connexions Internet.

Conscient des problèmes potentiels générés par l'abandon de IdentTrust DST Root CA X3, Let's Encrypt a plusieurs fois préféré reporter la transition vers ISRG Root X1. Initialement, la transition d'un certificat numérique à un autre était prévu dans le courant de l'année dernière. L'opération avait alors été reportée en janvier 2021 avant d'être finalement organisée quelques mois plus tard. Utilisez-vous un appareil qui risque de se retrouver privé de connexion ? On attend votre témoignage dans les commentaires.

Source : le blog de Scott Helme