L'arrêt, depuis plus de vingt jours, des activités gouvernementales américaines a des effets inattendus aux USA. Y compris au niveau des sites web.

Cela fait maintenant plus de vingt jours que le troisième shutdown de la présidence Trump a commencé. Démarré le 22 décembre 2018 à cause d’un désaccord entre la Maison Blanche et le Congrès sur le budget et sur la construction d’un mur à la frontière mexicaine, cet arrêt des activités gouvernementales aux États-Unis est en passe de devenir le plus long de l’histoire.

Nombreux ont été les articles à décrire les conséquences concrètes que ce shutdown a sur le service public et les personnes qui en ont besoin.

Dans un article qui étrille le président américain, le New York Magazine a ainsi rappelé que 38 millions d’Américains dépendent de coupons alimentaires et que leur disponibilité a cessé à cause du shutdown. Et que des milliers de locataires risquent maintenant d’être expulsés, faute de pouvoir recevoir l’assistance du ministère du Logement et du Développement urbain.

Donad Trump
Donad Trump, le 25 décembre. // Source : Shealah Craighead

Les sites officiels pâtissent du shutdown

Il s’avère que cet arrêt des activités gouvernementales produit également des effets très étonnants : ainsi, comme le pointe Vincent Toubiana, qui officie au sein du régulateur français des télécommunications (ARCEP), des sites gouvernementaux américains apparaissent depuis quelques jours comme potentiellement vulnérables. La raison ? Les certificats électroniques de sécurité n’ont pas été renouvelés.

Les certificats dont on parle sont ceux qui valident la fiabilité d’une connexion qui est établie lorsqu’un internaute se rend sur un site web, par exemple celui de sa banque ou de son site de e-commerce ou de sa messagerie électronique. Il en existe un sur Numerama. Ces certificats sont signés par des tiers de confiance et servent ainsi à vérifier l’authenticité des sites.

Cette liaison sécurisée est appelée HTTPS, car elle est matérialisée par un « s » qui suit le sigle HTTP de la barre d’adresse et par un cadenas fermé de couleur verte.

cadenas
Le cadenas est devenu le symbole du HTTPS. Pxhere

NASA et ministère de la Justice touchés

Le site Netcraft rapporte ainsi que plus de 80 certificats utilisés pour des domaines liés au gouvernement (.gov) ont expiré. Parmi les victimes figurent des sites liés au ministère de la Justice, à la NASA ou à certaines juridictions judiciaires. Certains certificats ont pu expirer un peu avant le shutdown, mais d’autres ont pris fin — par exemple le 5 janvier — en plein bras de fer politique sur le budget.

La perte de ces certificats ne signifie pas que tous les sites concernés deviennent inaccessibles. Certains empêchent effectivement d’aller beaucoup plus loin que la page d’accueil, qui n’en est plus vraiment une d’ailleurs, puisque des messages de mise en garde s’affichent au premier plan, tandis que d’autres permettent de poursuivre la navigation, en acceptant le risque de sécurité.

Maison Blanche Washington USA
Voilà plus de vingt jours que le blocage dure. // Source : Alexey Topolyanskiy

Ainsi, sur un des sites de la NASA, en passant par le navigateur Firefox, il est indiqué que « les propriétaires de rockettest.nasa.gov ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web. [Il] utilise un certificat de sécurité invalide ». Il est toutefois possible d’ajouter une exception de sécurité.

Faire cela est risqué : le navigateur prévient en effet que « vous êtes en train de passer outre la façon dont Firefox identifie ce site. Les [sites] légitimes ne vous demanderont pas de faire cela ». Et d’ajouter : « ce site essaie de s’identifier lui-même avec des informations invalides. Le certificat n’est pas valide actuellement. Il a pu être volé ou perdu et peut être utilisé par quelqu’un pour usurper l’identité de ce site ».

Des messages du même tonneau apparaissent avec les autres grands navigateurs web.

Si le shutdown perdure, il est à craindre que d’autres certificats expirent. Plus grave : avec cette pause, le personnel chargé d’assurer la sécurité informatique des États-Unis et de gérer son parc et ses ressources informatiques a été mis en partie au chômage technique. Or, comme le pointe ZDNet, l’Amérique se trouve désormais en sous-effectif pour faire face à toutes les éventualités.

En ces temps de cyberguerre froide, cela tombe très mal.

Partager sur les réseaux sociaux