Il va y avoir du changement le 1er septembre 2020 dans la façon dont le navigateur web Safari, qui est développé par Apple, communique de manière sécurisée avec les sites. À cette date, les certificats électroniques de longue durée ne seront plus considérés comme valides par le logiciel, qui est l’un des plus utilisés sur mobile, grâce au succès de l’iPhone, et qui est aussi relativement significatif sur PC.
Cette évolution voulue par la firme de Cupertino, dont The Register se fait l’écho, a été annoncée le 19 février lors d’une réunion du consortium CA/Browser, qui réunit des éditeurs de navigateurs web (dont Google avec Chrome, Mozilla avec Firefox, Opera et Microsoft avec Edge) et une ribambelle d’autorités de certification (comme Amazon, DigiCert, GoDaddy, Let’s Encrypt et Visa).
La décision prise Apple est d’importance, car elle bouscule le fonctionnement des certificats électroniques. Ces dispositifs servent à authentifier les sites afin de vérifier s’ils sont bien ceux qu’ils prétendent être. Ils permettent aussi de s’assurer de la fiabilité de la connexion entre l’internaute, via son navigateur, et le site sur lequel il se rend. La validité de ces documents est vérifiée par des tiers de confiance, qui les signent.
Ces certificats jouent un rôle déterminant dans la sécurité en ligne, puisque c’est eux qui permettent de dire si la liaison est sécurisée correctement (HTTPS) ou non (HTTP). Quand le « s » est ajouté au sigle, cela veut dire que la liaison entre l’internaute et le site est sûre, ce qui est capital quand on se rend sur sa banque, son site de e-commerce, son réseau social favori ou sa messagerie électronique, afin d’empêcher l’interception ou la modification des données échangées.
Des certificats de 13 mois maximum
Or donc, Apple entend revoir l’usage de ces certificats en rejetant ceux dont la durée de validité excède 398 jours, soit environ 13 mois. En clair, tous les nouveaux certificats qui seront obtenus par les sites web après le 1er septembre 2020 ne devront pas dépasser cette période de temps pour être jugés valides par Safari, dont la part de marché est de près de 30 % dans le mobile et de 4 % sur PC.
Selon le compte-rendu proposé par nos confrères, cette nouvelle politique n’affectera pas les certificats de longue durée qui ont été obtenus avant cette date. En revanche, les sites tomberont inévitablement sous le coup de cette nouvelle « réglementation » dans le cas où les conditions de renouvellement automatique du certificat ne changent pas. Par exemple, si un certificat de 2 ans est prolongé pour 2 ans de plus.
Dans de nombreux cas de figure, le mouvement d’Apple sera imperceptible. D’abord, parce qu’il ne concerne que Safari — les internautes passant par Chrome, Firefox, Edge, Opera ou bien Internet Explorer (ou tout autre navigateur web) ne verront rien de tout cela, sauf si les éditeurs de ces logiciels décident de suivre le mouvement. Ensuite, parce qu’on estime que plus de la moitié des certificats passe par Let’s Encrypt (dont Numerama, depuis début 2018), une autorité qui en délivre gratuitement pour une durée de validité de 90 jours au maximum, avec renouvellement automatique.
Dans quelques cas, néanmoins, des internautes naviguant avec Safari pourraient voir apparaître après le 1er septembre une alerte de sécurité lorsqu’ils voudront se rendre sur un site ne respectant pas les nouvelles consignes d’Apple. Ces avertissements ne sont pas rares et peuvent être déclenchés pour d’autres raisons qu’une véritable vulnérabilité. On se souvient qu’au début 2018, Firefox et Chrome avaient décidé de rejeter les certificats émis par Symantec, après plusieurs impairs de sa part.
Parmi les raisons qui ont conduit Let’s Encrypt à proposer une période de temps aussi brève, et donc tout à fait compatible avec la nouvelle règle d’Apple, figure la lutte contre les compromissions informatiques. Une durée couverte « limite les dommages causés par les vols de clés de chiffrement et les erreurs d’émission de certificats. Les clés volées et les certificats mal délivrés sont valables pour une période plus courte », donc sont de fait évacués et remplacés plus vite.
Le vrai enjeu va concerner les sites web, puisque ce sont eux qui vont devoir s’adapter. Va-t-il s’agir d’un obstacle si insurmontable que cela ? Cela reste à voir. D’abord, parce que Let’s Encrypt, qui est l’un des poids lourds du domaine, est déjà compatible, ce qui fait que tous les sites web passant par lui seront conformes. Ensuite, parce que les autres autorités de certification seront amenées de fait à s’adapter et à communiquer auprès de leurs clients pour qu’ils se préparent à la transition.
En outre, les autorités de certification mettent à disposition des outils qui permettent de renouveler automatiquement le certificat. Au-delà de la contrariété passagère qui requiert d’être prêt pour le jour J, cette bascule ne devrait, en principe, pas avoir de conséquences particulièrement lourdes pour les sites, si les responsables des certificats prennent toutes les dispositions adéquates pour ne plus avoir à y penser tous les 13 mois — ce qui constitue par ailleurs une durée relativement longue.
À ce sujet, Let’s Encrypt le dit sans détour : l’automatisation en ce qui concerne ces certificats « est absolument essentielle pour se faciliter la vie. Si nous devons faire passer l’ensemble du web en HTTPS, nous ne pouvons pas continuer à attendre de gérants qu’ils traitent manuellement ces renouvellements. Une fois que l’émission et le renouvellement seront automatisés, les durées de vie plus courtes ne seront pas moins pratiques que les durées plus longues ».
Bien que cette décision puisse entraîner des désagréments réels, atténués toutefois par le fait que l’échéance est dans plus de six mois, ce qui laisse du temps pour se préparer sans précipitation, les enjeux de sécurité sont considérables : il ne suffit plus en effet de basculer sur une liaison HTTPS pour se considérer en sécurité. Il faut aussi s’assurer que ce sont les normes cryptographiques les plus récentes qui sont utilisées — c’est pour cela par exemple qu’un vieux protocole de sécurité a été abandonné par les principaux navigateurs web — et que les certificats soient conformes.
En principe, la mesure prise par Apple pour Safari doit permettre d’évacuer petit à petit les certificats qui ne sont pas ou plus dignes de confiance, ou qui peuvent être exposés à des attaques informatiques plus ou moins sophistiquées. En outre, même dans le cas où un incident surviendrait, la durée assez courte de validité fixée par Apple permettrait de le dépasser dans un délai relativement bref.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !