Des millions d’iPhone, de smartphones Android et de consoles risquent d’être coupés d’Internet ce 30 septembre

Des millions d’iPhone, de smartphones Android, de consoles (PS4, PS3…) et de téléviseurs connectés risquent d’être brutalement privés de connexion Internet à partir du 30 septembre 2021. Un certificat de sécurité très répandu s’apprête en effet à expirer, laissant de nombreux appareils non mis à jour dans l’incertitude. 

Vous utilisez quotidiennement un iPhone, un smartphone Android, une console ou un téléviseur connecté d’ancienne génération ? Certains de vos appareils risquent d’être brutalement privés de connexion Internet à partir du 30 septembre 2021, met en garde le chercheur en sécurité informatique Scott Helme dans un billet publié sur son blog. “Vous pourrez ou non avoir besoin de faire quoi que ce soit à ce sujet, mais je parie que certaines choses vont probablement ne plus fonctionner ce jour-là”, prophétise Scott Helme.

Ce jour là, un important certificat numérique de sécurité appelé IdentTrust DST Root CA X3 va expirer. Ce certificat permet de certifier un autre certificat extrêmement répandu, ISRG Root X1. Proposé par Let’s Encrypt, une autorité de certification née en 2015, ce protocole chiffre une importante partie des connexions réalisées sur le Word Wide Web.

Lire aussi : Une tempête solaire risque de provoquer une “apocalypse d’Internet” dès 2023

Quels appareils sortis avant 2017 sont concernés ?

De nombreux appareils anciens s’appuient toujours sur IdentTrust DST Root CA X3 pour certifier ISRG Root X1. Dans ce contexte, ces terminaux vont devoir se mettre à jour pour continuer à profiter de certaines fonctionnalités d’Internet, comme regarder des vidéos sur Netflix.

Il y a de fortes chances que de nombreux appareils sortis avant 2017 soient affectés surtout si vous n’avez jamais installé de mise à jour du logiciel. Si votre terminal tourne toujours sous son logiciel d’usine, il y a des risques que vous perdiez l’accès à Internet. Fort heureusement, il est possible, dans la plupart des cas, d’éviter les défaillances en installant une mise à jour sur votre smartphone, votre téléviseur ou votre console.

Dans le cas d’un smartphone tournant sous Android, il est nécessaire d’installer Android 2.3.6 Gingerbread ou une version ultérieure pour conserver une connexion Internet complète. Dès 2024, ces téléphones devront passer à Android Nougat 7.1.1. D’après le chercheur, un tiers des téléphones Android en circulation sont potentiellement concernés par l’expiration du certificat de Let’s Encrypt.

Si vous utilisez un Mac sous macOS 10.12.0 (ou une version antérieure) ou un iPhone sous iOS 9 (ou une version antérieure de l’OS), on vous conseille d’installer une mise à jour du firmware si celle-ci est disponible. Même son de cloche si vous utilisez une PlayStation 4 avec une version du firmware antérieure à 5.00 et les PC tournant sous Windows XP avec Service Pack 2 ou une itération antérieur.

Voici la liste complète des plateformes concernées par l’expiration du certificat de Let’s Encrypt :

  • Windows XP Service Pack 2
  • macOS 10.12.0
  • iOS 9
  • Android Gingerbread v2.3.6
  • Mozilla Firefox v2.0
  • Ubuntu 12.04
  • Debian squeeze / 6
  • Java 8 8u101
  • Java 7  7u111
  • NSS v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen  v10
  • Jolla Sailfish OS v1.1.2.16
  • Kindle v3.4.1
  • Blackberry 10.3.3
  • PS4 avec firmware antérieure au 5.00

Pour l’heure, il est encore difficile d’estimer l‘étendue des défaillances qui surviendront le 30 septembre. De nombreux appareils reposent en effet sur plusieurs certificats de sécurité numérique, ce qui pourrait permettre de limiter la casse. “Une chose que je sais, cependant, c’est qu’au moins quelque chose, quelque part va se briser”, met en garde Scott Helme.

En cas de panne le 30 septembre, tournez-vous vers Firefox

Si votre appareil n’est pas en mesure de passer à une version supérieure, vous risquez de rencontrer des problèmes de connexion Internet en date du 30 septembre. Il existe cependant une solution de contournement pour continuer à se connecter à Internet : Firefox. Comme l’explique Let’s Encrypt sur son site web officiel, le navigateur web de Mozilla ne s’appuie pas sur les certificats de sécurité exploités par le système d’exploitation. Firefox se base plutôt sur ses propres certificats numériques pour chiffrer les connexions Internet.

Conscient des problèmes potentiels générés par l’abandon de IdentTrust DST Root CA X3, Let’s Encrypt a plusieurs fois préféré reporter la transition vers ISRG Root X1. Initialement, la transition d’un certificat numérique à un autre était prévu dans le courant de l’année dernière. L’opération avait alors été reportée en janvier 2021 avant d’être finalement organisée quelques mois plus tard. Utilisez-vous un appareil qui risque de se retrouver privé de connexion ? On attend votre témoignage dans les commentaires.

Source : https://www.phonandroid.com/millions-iphone-smartphones-android-tv-consoles-risquent-coupes-internet-30-septembre.html

Pour aller plus loin :

Le certificat racine de Let’s Encrypt expire !

Le 30 septembre 2021, le certificat racine que Let’s Encrypt utilise actuellement, le certificat IdentTrust DST Root CA X3, expirera. Vous pouvez ou non avoir besoin de faire quoi que ce soit à propos de l’expiration de cette autorité de certification racine, mais je parie que certaines choses vont probablement casser ce jour-là, alors voici ce que vous devez savoir !

Il y a une longue histoire

Cela semble être une prise éhontée, mais si vous voulez vraiment en savoir plus sur le fonctionnement des autorités de certification (CA) et des chaînes de certification, vous devriez envisager de me rejoindre pour le cours de formation pratique TLS et PKI que je dispense et qui a été créé par Ivan Ristic , le créateur de SSL Labs et l’auteur de Bulletproof SSL et TLS . Pour tous les autres, cet article de blog et les détails vers lesquels je vais créer un lien devraient suffire à comprendre ce qui va se passer et pourquoi.

En fin de compte, tous les certificats qui alimentent HTTPS sur le Web sont émis par une autorité de certification, une organisation de confiance reconnue par votre appareil/OS. Ici, vous pouvez voir la liste des « Autorités de certification racines de confiance » sur mon appareil Windows 10 actuel :

Ces certificats sont intégrés à votre système d’exploitation et sont généralement mis à jour dans le cadre du processus normal de mise à jour de votre système d’exploitation. Le certificat ici qui va poser problème est celui-ci, IdenTrust DST Root CA X3.

Comme vous pouvez le voir, le temps presse et nous nous rapprochons de la date d’expiration du 30 septembre 2021 mais ce n’est pas seulement une date d’expiration, c’est un horodatage d’expiration que nous appelons notAfter:

C’est converti en BST pour moi, mais si j’analyse le certificat à l’aide d’OpenSSL X509, vous pouvez voir l’horodatage UTC pour l’expiration :

Cela nous donne une heure assez précise pour l’expiration de ce certificat :

        Validity
            Not Before: Sep 30 21:12:19 2000 GMT
            Not After : Sep 30 14:01:15 2021 GMT

Une fois cette autorité de certification racine expirée, les clients, comme les navigateurs Web, ne feront plus confiance aux certificats émis par cette autorité de certification.

La fin est proche!

Ce ne sera pas la première fois qu’un certificat CA racine expirera et j’imagine qu’il suivra la même tendance que les expirations précédentes où les choses se cassent. Si le certificat racine sur lequel votre chaîne de certificats est ancrée a expiré, il y a de fortes chances que cela entraîne un échec. Cela s’est produit l’année dernière, le 30 mai à 10:48:38 GMT 2020 pour être exact, lorsque la racine CA externe AddTrust a expiré et a emporté un tas de choses avec elle. Des organisations comme Roku , Stripe , Spreedly et bien d’autres ont eu des problèmes et elles n’étaient pas les seules, même RedHat avait quelque chose à dire sur l’événement.

Si vous êtes intéressé par plus de détails sur l’expiration passée d’AddTrust, ce qui pourrait être en réserve pour l’expiration d’IdenTrust et ce que vous pouvez faire à ce sujet, cette série en 4 parties que j’ai écrite vous aidera, mais soyez prévenu, ce n’est pas pour le pusillanime!

  1. La fin imminente de l’expiration des autorités de certification racine et des clients hérités
  2. Les complexités de la construction de chaînes et de l’infrastructure CA
  3. Signatures croisées et chemins de confiance alternatifs ; Comment ils travaillent
  4. Trouver des chemins de confiance alternatifs en toute simplicité ; Présentation de Chain Builder

Dans des circonstances normales, cet événement, l’expiration d’une autorité de certification racine, ne vaudrait même pas la peine d’être évoqué car la transition d’un ancien certificat racine vers un nouveau certificat racine est totalement transparente. La raison pour laquelle nous avons un problème est que les clients ne sont pas mis à jour régulièrement et si le client n’est pas mis à jour, la nouvelle autorité de certification racine qui remplace l’ancienne autorité de certification racine expirée n’est pas téléchargée sur l’appareil.

Let’s Encrypt a grandi

Au cours de la dernière année seulement, Let’s Encrypt a considérablement augmenté sa part de marché et à mesure qu’une autorité de certification devient plus grande, ses certificats permettent à une plus grande partie du Web de fonctionner et, par conséquent, lorsque quelque chose comme cela se produit, ils ont le potentiel de causer plus de problèmes. Cela n’a rien à voir avec ce que Let’s Encrypt a fait ou n’a pas fait, cela revient toujours au même problème sous-jacent que les appareils de l’écosystème ne sont pas mis à jour comme ils devraient l’être.

Compte tenu de la différence de taille relative entre Let’s Encrypt et AddTrust, j’ai le sentiment que l’expiration de la racine IdenTrust peut potentiellement causer plus de problèmes. Personne ne sait vraiment à quel point cela pourrait être un problème, cela pourrait avoir des conséquences similaires à l’expiration d’AddTrust, ou il pourrait y avoir des circonstances imprévues et cela pourrait être bien pire, votre supposition est aussi bonne que la mienne.

Que font Let’s Encrypt à ce sujet ?

Comme je l’ai dit ci-dessus, ce problème ne se produit pas à cause de tout ce que Let’s Encrypt a fait ou n’a pas fait, cela se produit parce que tous les certificats finissent par expirer et si les appareils ne sont pas mis à jour, ils ne recevront pas les nouveaux certificats de remplacement. Cela dit, Let’s Encrypt ne s’est pas assis et s’est tourné les pouces à l’approche de la date d’expiration, ils ont travaillé dur pour essayer de trouver une solution.

En avril 2019, j’ai écrit Let’s Encrypt pour passer à la racine ISRG , où Let’s Encrypt avait prévu de passer de la racine IdenTrust à sa propre racine, ISRG Root X1, qui expire le 4 juin 2035, ce qui nous donne un certain nombre d’années. Le problème était que peu d’appareils avaient reçu les mises à jour nécessaires qui incluent ce nouveau ISRG Root X1, publié 4 ans auparavant en 2015 ! Si un grand nombre d’appareils n’ont pas reçu de mise à jour pour inclure ce nouveau certificat racine, ils ne lui feront tout simplement pas confiance. Il s’agit essentiellement du même problème que nous rencontrons actuellement avec l’expiration de la racine IdenTrust, car les périphériques clients n’ont pas été mis à jour, ils n’ont pas non plus reçu la nouvelle racine ISRG X1. La transition a été reportée.

En septembre 2020 je devais écrire un autre article, Let’s Encrypt reporter la transition ISRG Root , pour expliquer, pour la troisième fois, que Let’s Encrypt avait à nouveau reporté la transition. Ils ont cité les préoccupations suivantes : En raison de préoccupations concernant la propagation insuffisante de la racine ISRG sur les appareils Android, nous avons décidé de déplacer la date à laquelle nous commencerons à servir une chaîne à notre propre racine au 11 janvier 2021.

Cela se traduit vaguement par le fait que les appareils Android n’ont pas reçu de mise à jour depuis plus de 4 ans, ce qui signifie que ces appareils n’avaient toujours pas reçu l’ISRG Root X1, ce qui signifie qu’ils ne lui feraient pas confiance. Let’s Encrypt ne peut pas passer à l’émission à partir de la nouvelle racine, mais la racine IdenTrust a encore 1 an de vie et le temps presse maintenant.

En fin de compte, quelque chose d’un peu inattendu s’est produit qui pourrait simplement réduire l’impact grave de cet événement et le rendre un peu plus acceptable. Étant donné que les anciens appareils Android ne vérifient pas la date d’expiration d’un certificat racine lorsqu’ils l’utilisent, Let’s Encrypt peut continuer à se connecter au certificat racine expiré sans aucun problème sur ces appareils plus anciens. Cela introduit une certaine complexité à l’avenir, mais en fin de compte, l’objectif est d’ étendre la compatibilité des appareils Android pour les certificats Let’s Encrypt .

la source

Pour que cela fonctionne, Let’s Encrypt a dû obtenir une signature croisée pour son propre certificat racine ISRG X1 de la racine CA X3 IdenTrust DST expirée, mais cela n’aiderait pas du tout à moins que la racine à signature croisée ne soit valide plus longtemps que le racine de signature, ce qui est le cas. Le nouveau certificat ISRG Root X1 est valide plus longtemps que l’IdenTrust DST Root CA X3 qui l’a signé !

Régénérer

Comme nous le savons maintenant, le IdenTrust DST Root CA X3 expire le 30 septembre 2021, mais le nouveau ISRG Root X1 avec signature croisée n’expire que le 30 septembre 2024 !

En étendant la validité de la nouvelle racine à signature croisée au-delà de celle de la racine de signature, Let’s Encrypt a trouvé un moyen de contourner les règles et de nous acheter 3 ans supplémentaires jusqu’à ce que ce problème se reproduise. Certaines personnes ne sont pas satisfaites du jeu sournois, mais il semble qu’il respecte les règles, même si ce n’est peut-être pas ce à quoi tout le monde s’attendrait ou aurait préféré. Cette nouvelle racine ISRG X1 à signature croisée ne doit pas non plus être confondue avec la racine ISRG X1 existante qui n’a pas changé et plus de détails peuvent être trouvés ici .

Espérons que cela aidera à atténuer de nombreux problèmes en attente, mais ce n’est pas une solution à tous les problèmes, car tout client qui applique la date d’expiration du certificat racine sur lequel il s’ancre échouera toujours.

Clients concernés

L’un des clients notables qui sera toujours affecté par cette expiration dépend de la bibliothèque OpenSSL 1.0.2 ou antérieure, version 22 janvier 2015 et dernière mise à jour en tant qu’OpenSSL 1.0.2u le 20 décembre 2019. OpenSSL a publié un article de blog détaillant quelles mesures les personnes concernées peuvent prendre, mais elles nécessitent toutes une intervention manuelle pour éviter les bris, tous les détails sont ici . Le bref aperçu des options est :

  1. Supprimez le certificat racine IdenTrust DST Root CA X3 et installez manuellement le certificat racine ISRG Root X1 (pas celui à signature croisée).
  2. Si vous utilisez des commandes OpenSSL comme verifyou s_clientvous pouvez ajouter le --trusted_firstdrapeau si possible.
  3. Demandez au serveur de servir une chaîne de certificats alternative qui va directement à la racine ISRG X1 (pas celle à signature croisée), mais cela cassera les appareils Android mentionnés ci-dessus.

Cette page de documentation de Let’s Encrypt contient une liste de clients qui font uniquement confiance au certificat IdenTrust DST Root CA X3 et ensuite la liste des plates-formes qui font confiance à ISRG Root X1. J’ai mélangé ces deux listes pour produire la liste suivante de clients qui se briseront après l’expiration de IdenTrust DST Root CA X3.

  • OpenSSL <= 1.0.2
  • Windows < XP SP3
  • macOS < 10.12.1
  • iOS < 10 (l’iPhone 5 est le modèle le plus bas pouvant accéder à iOS 10)
  • Android < 7.1.1 (mais >= 2.3.6 fonctionnera si le signe croisé ISRG Root X1 est servi)
  • Mozilla Firefox < 50
  • Ubuntu < 16.04
  • Debian < 8
  • Java 8 < 8u141
  • Java 7 < 7u151
  • NSS < 3,26
  • Amazon FireOS (navigateur Silk)

Les plates-formes dont je ne suis toujours pas sûr et qui auront besoin d’une enquête plus approfondie pour voir si elles échoueront après l’expiration de IdenTrust DST Root CA X3 sont :

  • Cyanogène > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Mûre >= 10.3.3
  • Console de jeu PS4 avec firmware >= 5.00
  • IIS

La réponse à la question « que se passera-t-il lorsque la racine IdenTrust expire ? » dépend de l’étendue des types de clients énumérés ci-dessus. Je ne sais pas ce qui circule sur le Web, et je ne sais pas non plus ce qui dépend de ces choses. Une chose que je sais, cependant, c’est qu’au moins quelque chose, quelque part va se briser.

Mise à jour 08:08 BST 21 septembre 2021

J’ai ajouté IIS à la liste « incertain », car certains rapports [ 1 ][ 2 ] suggèrent qu’une intervention manuelle est nécessaire pour une transition en douceur.

Traduction de l’article : https://scotthelme.co.uk/lets-encrypt-old-root-expiration/

Une réflexion sur “Des millions d’iPhone, de smartphones Android et de consoles risquent d’être coupés d’Internet ce 30 septembre

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Restez informer

En vous abonnant à la Newsletter, vous acceptez que vos données personnelles soient traitées par la Résistance dans le but de vous envoyer la Newsletter. Vous pouvez vous désinscrire à tout moment grâce au lien de désinscription à la fin de chaque newsletter.

Newsletter

INSCRIPTION À LA NEWSLETTER

WordPress Cookie Notice by Real Cookie Banner