Au cours de l'année 2018, Firefox et Chrome pourraient vous avertir d'un risque de sécurité sur des sites censés proposer une liaison sécurisée avec HTTPS. La raison ? Les certificats électroniques émis par Symantec ne vont plus être jugés dignes de confiance.

Si vous utilisez Google Chrome pour aller sur le web, il y a des chances pour que vous soyez confronté, d’ici quelques mois, à un avertissement de sécurité venant de votre navigateur, et cela alors même que vous vous trouvez sur un site qui est censé vous permettre de vous y connecter en toute confiance.

La raison ?

Le navigateur de Google, à partir de sa branche 66, dont la sortie est fixée au 17 avril 2018, ne va plus accorder de crédit à certains certificats électroniques qui servent à valider la fiabilité de la connexion sécurisée qui est établie entre l’internaute et le site sur lequel il se rend — cette sécurité est matérialisée par le « s » dans le sigle HTTP de la barre d’adresse et par un cadenas fermé de couleur verte.

Google Chrome

Tous les certificats électroniques émis ne sont heureusement pas concernés. En fait, les certifications qui sont visées par cette décision sont ceux émis par l’entreprise Symantec avant le 1er juin 2016. Cette décision de ne plus s’y fier a été annoncée le 11 septembre 2017. Les internautes n’ont rien de particulier à faire ; par contre, les webmestres sont invités à changer de certificat dès que possible.

Comment en est-on arrivé là ?

La firme de Mountain View explique que divers incidents liés à la manière de procéder de Symantec avec les certificats électroniques ont fini par entamer la foi que pouvait avoir le géant du web en cet intermédiaire. Dès lors, Symantec n’apparaissant plus comme un tiers de confiance fiable, il est logique de ne plus faire appel à ses services.

Confiance perdue, sécurité rompue.

Attention, Chrome 66 n’est qu’une étape dans ce processus de dépréciation : avec la publication de Chrome 70, autour du 23 octobre 2018, la mesure sera globale. Tous les certificats émis par Symantec ne seront plus considérés comme fiables. Seul un petit nombre de certificats émis par des autorités de certification subordonnées mais opérant indépendamment et ayant été auditées y échappera.

Et Google n’est pas le seul navigateur à aller dans cette direction : Mozilla, qui s’occupe de Firefox, va suivre un planning à peu près similaire, avec la déconsidération des certificats de Symantec émis avant le 1 juin 2016 au moment de la sortie de Firefox 60, en mai, puis de tous les autres avec Firefox 63, qui doit être publié au mois d’octobre. Mozilla prévient toutefois que ces dates peuvent changer.

firefox-mozilla

Sites toujours accessibles

Quand ces échéances arriveront, les sites sur lesquels les certificats n’auront pas été mis à jour seront toujours visitables par les internautes, même avec Firefox et Google Chrome. Les visiteurs feront néanmoins face à des messages d’avertissement leur indiquant que la connexion à ces sites est vulnérable et que les informations qui circulent entre leur navigateur et les sites en question pourraient être interceptées.

Reste que tous les internautes ne verront pas ces avertissements au même moment : en effet, tout dépendra de la vitesse à laquelle les mises à jour de Firefox et de Chrome se répandront. Un internaute qui n’installerait pas Firefox 60 ou Chrome 66 verrait toujours son navigateur « faire confiance » aux certificats de Symantec. Mais en faisant cela, il se priverait de toutes les mises à jour de son navigateur.

Y compris celles améliorant sa sécurité et sa fiabilité.

Partager sur les réseaux sociaux