Depuis jeudi, le projet de certificats numériques gratuits Let’s Encrypt pour les sites web est disponible en version bêta publique. Une annonce qui va permettre ainsi d’étendre la diffusion de ce type de certificats à travers le monde qui avait commencé en septembre dernier avec le lancement d’un premier certificat gratuit. « L’appellation bêta disparaîtra dès que le logiciel du projet sera affiné », a précisé Josh Aas, directeur exécutif de l’Internet Security Research Group (ISRG), qui gère le projet Let’s Encrypt. « L'automatisation du processus est au cœur de notre stratégie, et notre objectif est de fournir un client fiable, qui fonctionne facilement sur un grand nombre de plateformes », a-t-il ajouté.
Les certificats numériques utilisent des protocoles SSL/TLS (Secure Sockets Layer/Transport Layer Security) pour crypter le trafic de données échangées entre un utilisateur et un service, ce qui augmente le degré de confidentialité et de sécurité. Sécuriser un site web avec des certificats numériques est une opération coûteuse et complexe à mettre en œuvre, si bien que leur utilisation n’est ni uniforme, ni généralisée. En livrant des certificats gratuits et en facilitant leur installation, le projet Let’s Encrypt a pour but de rendre le processus accessible à tous. Tout est pris en charge par le client développé par le projet, puisque c’est lui qui s’occupe de récupérer les certificats auprès de l'autorité de certification Let’s Encrypt et de configurer les serveurs web.
Le support de Python 3.0 et davantage de serveurs Nginx dans les tuyaux
D’après des explications, pour l’instant le client ne fonctionnera que sur des systèmes à base Unix supportant Python 2.6 ou 2.7. Le support de Python 3.0 sera ajouté un peu plus tard. Le projet prévoit également d'affiner d'autres aspects du traitement des certificats, notamment leur renouvellement automatique à la date d’expiration et le support d’un plus grand nombre de serveurs Nginx. Let’s Encrypt peut permettre aux entreprises d’ajouter le cryptage SSL/TLS à leurs sites Web, encore mal protégés. La gratuité n’est pas le moindre aspect du projet : l’achat de certificats numériques peut coûter très cher. En moyenne, le prix d’un seul certificat à validité étendue se situe entre 600 et 800 dollars HT.
Cela fait longtemps que certains mettent en cause le coût trop élevé des certificats numériques. Mais, les problèmes de sécurité rencontrés par plusieurs autorités de certification ont aussi entamé la confiance des utilisateurs. En effet, la vulnérabilité d’un certificat peut avoir des conséquences immédiates et à grande échelle sur les utilisateurs de l’Internet. En 2011, un pirate avait réussi à s’introduire dans les serveurs de l’autorité de certification néerlandaise DigiNotar, détournant des centaines de certificats, dont un pour google.com. Selon certains analystes, le certificat illégal a peut-être été utilisé pour cibler des utilisateurs iraniens.
Un pas supplémentaire vers l’Internet chiffré
Malgré ces violations occasionnelles et les manquements de certains certificats d’autorité, le chiffrement des sites Web est généralement recommandé, car il permet au minimum de contrer les attaques les plus courantes et de se protéger contre l'espionnage du trafic non chiffré sur les points d'accès WiFi publics. Le certificat permet aussi aux internautes de se protéger contre la surveillance gouvernementale et les campagnes de collecte massive de données par les agences de renseignement occidentales, comme l’avait révélé l'ancien consultant de la NSA, Edward Snowden.
L'Electronic Frontier Foundation (EFF), l’un des supporters du projet Let’s Encrypt lancé en novembre 2014, a déclaré que cette version bêta publique allait permettre de faire un pas supplémentaire vers un Internet chiffré. « Chaque jour, d’énormes quantités de données sont échangées sans cryptage en HTTP simple. Sur ces sites, les internautes s’exposent à des campagnes de surveillance, à des attaques de logiciels malveillants, au pistage et ils sont ciblés par des publicités indésirables », écrit Jacob Hoffman-Andrews, technologiste en chef de l’EFF.