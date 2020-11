Nombreux sont ceux qui, pour de multiples raisons, possèdent un ancien smartphone Android. Des utilisateurs aux besoins minimes aux personnes âgées qui ne se voient pas avec le courage ou la capacité d’apprendre, encore une fois, à utiliser leur téléphone. Combien? Eh bien environ 20% si nous comptons tous les appareils avec des versions antérieures à 7.1.1, et 15% de plus si nous ajoutons Android 8 à la liste. Dans le graphique suivant, vous pouvez voir son évolution au cours des douze derniers mois:

Source: Statistiques mondiales de StatCounter – Part de marché de la version Android

Dans certains cas, continuer à utiliser un ancien Android est le résultat d’un manque de désir, d’intérêt ou des connaissances nécessaires pour le faire. Et oui, il est vrai que Google et les fabricants ont peaufiné ce processus pour le rendre plus facile chaque jour, mais quand même, il existe un créneau important d’utilisateurs qui ne manifestent aucun intérêt pour cette possibilité.

Et puis, bien sûr, il y a ceux qui sont conservés sur un ancien Android parce que votre appareil ne peut pas aller plus loin. Des téléphones et des tablettes qui ont déjà quelques années et qui ont été laissés en dehors des cycles de mise à jour il y a quelques années, et que de ce fait ils se déconnectent peu à peu de l’évolution des logiciels et d’autres éléments. Cela va être le cas, et c’est pourquoi j’ai mentionné avant Android 7.1.1, des appareils avec des versions antérieures avec le changement d’année.

Comme vous le savez déjà, Google fait la promotion du adoption de normes et de protocoles sécurisés sur le réseau, et l’un des points sur lesquels il se concentre depuis longtemps, et qui est normalisé depuis un certain temps, concerne les connexions sécurisées au Web via des connexions HTTPS soutenues par des certificats SSL. Un élément qui garantit que les communications entre l’utilisateur et le serveur web resteront cryptées en transit, empêchant ainsi un observateur (qu’il soit malveillant ou simplement curieux) de les espionner.

Pour que l’ensemble du système fonctionne, il existe certaines entités reconnues, appelées autorité de certification ou autorité de certification, et quels sont ceux qui peuvent émettre ces certificats. Cette liste n’est pas seulement publique, mais doit être configurée dans le logiciel chargé de garantir l’authenticité des certificats. Si l’entité qui a émis un certificat ne figure pas dans la liste des entités de confiance, la connexion sera identifiée comme non sécurisée, ce qui peut même empêcher l’utilisateur d’accéder à ce site Web ou à ce service.

Et qu’est-ce que cela a à voir avec les anciennes versions d’Android? Pour que vous le compreniez, vous devez garder à l’esprit que les entités de certification ne sont pas une constantec’est-à-dire qu’aucune d’entre elles n’existe nécessairement depuis la création d’Internet, et n’existera pas nécessairement jusqu’à ce qu’il disparaisse, ce sont des organisations qui se créent, se modifient, disparaissent, etc., provoquant des changements dans la liste des entités de certification. Certains changements qui atteignent les utilisateurs via des mises à jour du logiciel et du système d’exploitation de leurs appareils.

Changements dans les autorités de certification

L’un de ces changements s’est produit il y a cinq ans, lorsque l’organisation à but non lucratif Let’s Encrypt est devenue une autorité de certification. Le problème est que, lorsqu’une entité commence à fonctionner en tant que telle, cela peut prendre des mois, voire des années, pour que les systèmes d’exploitation et les navigateurs acceptent le certificat racine de ladite entité. Ainsi, pour accélérer le processus, une nouvelle autorité de certification demandera souvent à une autorité de certification de confiance existante une signature croisée, de sorte que de nombreux périphériques lui fassent rapidement confiance.

C’était bien sûr le cas de Let’s Encrypt, qui a conclu un accord de signature croisée avec IdenTrust, un accord qui a été très rentable pour Let’s Encrypt mais qui, comme toujours dans ces collaborations, a une date d’expiration, qui est associée … exactement, à ce que je commentais auparavant, au fait que le nouveau CA a déjà une reconnaissance mondiale et, par conséquent, il est identifié par les systèmes d’exploitation et les navigateurs comme étant fiable. En 2021, la signature croisée entre Let’s Encrypt et IdenTrust prendra fin.

Let’s Encrypt identifie-t-il un ancien Android?

C’est la question à un million de dollars. Les navigateurs basés sur Chromium (c’est-à-dire la grande majorité) ne gèrent pas eux-mêmes les certificats (ce qui était plus courant dans l’Antiquité), au lieu de cela, ils confient cette tâche au système d’exploitation. Et, par conséquent, les mises à jour de cette liste dépendent, en général, de celles du système d’exploitation. Et si le système d’exploitation n’a pas été mis à jour depuis des années, s’il s’agit d’un ancien Android, il n’aura pas reçu les mises à jour pertinentes concernant les autorités de certification et, par conséquent, il n’identifiera pas les nouveaux comme sûrs.

Android 7.1.1 a été la première version d’Android à avoir Let’s Encrypt sur sa liste CAEn d’autres termes, c’était la première version de l’opération qui n’avait plus besoin de la signature croisée entre cette entité et IdenTrust pour faire confiance à ses certificats. En d’autres termes, toutes les versions précédentes d’Android dépendent de cette collaboration et, lorsqu’elle se termine, lorsque les certificats émis par Let’s Encrypt ne sont plus «approuvés» par IdenTrust, ils ne seront plus considérés comme sécurisés, cependant ce que cela implique.

Le problème est que nous ne parlons pas de quelques sites Internet et de quelques certificats, comme on peut le lire dans Little Short Bulletins, environ 30% des connexions sécurisées pointent vers des services certifiés par Let’s Encrypt, près d’un tiers du Web sécurisé repose sur leurs certificats. Certains certificats qui ne seront pas valides pour les appareils avec un ancien Android à partir de janvier prochain, lorsque l’organisation envisagera de mettre fin à la signature croisée, comme on peut le lire sur son blog.

À partir de ce moment, tout ancien smartphone Android, avec un système antérieur à 7.1.1, cessera de reconnaître tous ces certificats comme fiables et, par conséquent, des problèmes d’accès se produiront qui peuvent aller d’un simple message d’avertissement indiquant que la connexion n’est pas sécurisée, à l’incapacité d’accéder auxdites pages et services. Une limitation qui dans de nombreux cas sera insurmontable, et qui agira sans aucun doute comme une incitation à mettre à jour le système d’exploitation lorsque cela est possible, et l’appareil lorsqu’il n’y a pas d’autre possibilité.

Il existe cependant une alternative. Comme je l’ai mentionné précédemment, les navigateurs basés sur Chromium délèguent la gestion des certificats au système d’exploitation, mais comme vous le savez déjà, Firefox n’est pas basé sur Chromium. Et oui, en effet, il maintient quelque chose dont il hérite de son grand-père Netscape, la gestion des certificats. Ainsi, les utilisateurs qui peuvent télécharger et installer Firefox sur leur ancien Android pourront accéder à ces sites Web et services, car le navigateur reconnaît Let’s Encrypt comme une autorité de certification sécurisée.

Néanmoins, et compte tenu du degré d’intégration des navigateurs avec les systèmes d’exploitation, il est possible que des échecs commencent à se produire, en particulier dans les applications qui ont des éléments du navigateur Androidcar ils continueront à utiliser la liste des certificats du système d’exploitation, et dans ces cas, la situation sera beaucoup plus compliquée. Quelque chose qui a ajouté au temps que ces versions d’Android ont été sans recevoir de mises à jour de sécurité, rend la mise à jour plus souhaitable que jamais.