Let's Encrypt. Un nom que vous ne connaissez peut-être pas. Pourtant, cette initiative lancée par une ONG américaine a eu un rôle majeur dans l'amélioration du niveau de sécurité global du web. Les statistiques autour de Let's Encrypt parlent d'elles-mêmes.

Un milliard. Voilà le seuil colossal qu’a annoncé atteindre Let’s Encrypt le 27 février 2020 dans un billet de blog publié pour célébrer l’évènement. Précisément, ce milliard correspond au nombre de certificats électroniques que l’organisation, née fin 2014, a émis depuis le début de ses activités. Cinq ans plus tard, force est de constater que le pari de cette initiative, qui cherchait à améliorer la sécurité du web en simplifiant des procédures techniques, est remporté.

Au moment de son lancement, il y a maintenant une éternité, le pari paraissait fou. Les révélations faites par le lanceur d’alerte américain Edward Snowden en 2013 et au cours des années suivantes montraient pourtant la nécessité de rehausser le niveau général de protection des internautes face à la surveillance de masse, qui frappe indistinctement au lieu de prendre pour cible des individus isolés et faisant l’objet d’une enquête. Sauf qu’à l’époque, les connexions chiffrées n’étaient pas courantes.

C’est ce que révèlent les statistiques de Google. En juillet 2015 par exemple, il y avait moins de 50 % de pages chargées avec le protocole HTTPS sur Chrome, le navigateur web de la firme de Mountain View. Cela descendait même à 30 % sur Android. Même constat chez Let’s Encrypt, qui prend comme référence juin 2017 : il y avait alors 58 % de pages sur le web chargées en HTTPS. Les statistiques progressaient, mais le chemin à parcourir restait démesurément long.

Démocratiser le HTTPS pour tous

C’est à cette période que Let’s Encrypt a vu le jour sous l’impulsion de l’Electronic Frontier Foundation (EFF), une puissante organisation américaine dédiée à la défense des libertés numériques. «  Le plus gros obstacle au déploiement du HTTPS est la complexité, la bureaucratie excessive et le coût des certificats dont HTTPS a besoin », se plaignait-elle alors lors de sa campagne de promotion, animée avec divers partenaires : Mozilla, Cisco, Akamai, IdenTrust et des universitaires du Michigan.

HTTPS connexion liaison sécurisée chiffrement
Le symbole d’une connexion sécurisée, un cadenas fermé. // Source : Sean MacEntee

Le HTTPS, dont le sigle signifie HyperText Transfer Protocol Secure signale à l’internaute que la connexion entre son navigateur web et le site qu’il est en train de visiter est sûre. Pour symboliser cette protection, une icône représentant un cadenas fermé, parfois de couleur verte, apparaît dans la barre d’URL. Ce protocole est crucial quand on consulte des sites sensibles, comme sa banque, sa messagerie électronique ou un commerçant, car il empêche l’interception des données ou leur modification.

L’EFF n’a jamais fait mystère de son intention de chiffrer tout le web, et cela bien avant que n’éclate le scandale de la surveillance généralisée des agences de renseignement. En 2012, l’ONG défendait déjà la nécessité de chiffrer les communications sans tarder. Mais encore fallait-il élaborer la meilleure tactique : proposer une extension (HTTPS Everywhere) pour les grands navigateurs web, comme Chrome, Firefox, Opera, mais aussi dans des solutions moins connues comme Brave et Tor Brower ?

L’idée était bonne et l’est toujours, mais elle n’agit qu’en bout de course. Concrètement, HTTPS Everywhere active le protocole HTTPS lorsque celui-ci est disponible — d’où le nom du module complémentaire –, car il s’avérait à l’époque que de nombreux sites de premier plan proposant pourtant une liaison en HTTPS, ne l’activaient pas par défaut. C’est pourquoi une extension a été imaginée, afin de forcer cette connexion sécurisée. Avec Let’s Encrypt, il s’agit au contraire d’agir à l’autre bout de la chaîne.

Mettre les mains soi-même dans le cambouis

Comment ? En créant une toute nouvelle autorité de certification capable de simplifier à l’extrême le déploiement du HTTPS pour en finir avec sa « bureaucratie horriblement complexe  », dixit l’EFF, et ainsi autoriser la distribution gratuite et automatique des certificats. Le projet a, au fil du temps, gagné de plus en plus de soutiens : Facebook, OVH, Automattic (WordPress), Cisco, GitHub ou encore Red Hat, pour n’en citer que quelques-uns.

Et cela a fonctionné. Certes, la campagne de sensibilisation de Let’s Encrypt n’est pas le seul facteur qui a pesé dans la balance — Google, par exemple, a usé de toute son influence pour pousser à l’adoption du HTTPS, en en faisant un critère de bon référencement et en pointant du doigt les sites fautifs –, mais ce milliard de certificats électroniques en est le témoignage le plus éclatant. C’est d’ailleurs grâce à Let’s Encrypt que Numerama a fini par basculer sur le HTTPS, grâce à sa simplicité.

« Rien ne pousse mieux à l’adoption que la facilité d’utilisation »

Ce milliard n’est pas la seule statistique qui illustre l’impact qu’a eu Let’s Encrypt sur le net. Comme le relève la jeune autorité de certification, il y a aujourd’hui plus de 81 % de pages web qui se chargent en HTTPS dans le monde entier. « C’est une réalisation incroyable. C’est beaucoup plus de vie privée et de sécurité pour tout le monde », commente-t-elle. Autre chiffre à évoquer : on estime que plus de la moitié des certificats (52 %) passe par Let’s Encrypt, dont la popularité a bondi en 2018.

« Rien ne pousse mieux à l’adoption que la facilité d’utilisation », juge Let’s Encrypt, qui, non seulement propose des certificats gratuitement, mais en plus permet de les renouveler de façon automatique tous les 90 jours — ce qui a des effets bénéfiques sur la sécurité : Apple a d’ailleurs prévenu qu’elle va suivre des règles plus contraignantes en la matière. « Lorsque vous combinez la facilité d’utilisation avec des incitations, c’est là que l’adoption prend réellement son envol ».

Partager sur les réseaux sociaux

La suite en vidéo