Let’s Encrypt : une initiative concertée pour chiffrer le Web
Plusieurs entreprises IT s’allient dans le cadre du projet Let’s Encrypt, qui vise à motiver le chiffrement des connexions aux sites Web.
Pointés du doigt par l’ex-consultant NSA Edward Snowden pour leur complicité avec les services de renseignement dans le cadre des campagnes massives de cyber-espionnage, les industriels américains tentent de regagner la confiance de leurs clients en brandissant l’arme du chiffrement.
Tandis que Google a manifesté son intention de mieux référencer les sites qui exploitent le protocole sécurisé SSL (et son successeur TLS), Android et iOS ont sauté le pas du chiffrement des contenus sur les terminaux mobiles… s’attirant les foudres du FBI. On s’oriente aussi vers un chiffrement par défaut dans la prochaine version du protocole http.
Un nouveau projet voit le jour à l’initiative de plusieurs grandes entreprises IT (Cisco, Akamai, Mozilla, etc.) associées à l’Electronic Frontier Foundation et à des chercheurs de l’Université du Michigan. Son nom : Let’s Encrypt. Son objectif : encourager le chiffrement des connexions aux sites Web en délivrant gratuitement des certificats qui seront communiqués aux navigateurs Web.
C’est John Aas, directeur de l’Internet Research Group, qui dirige le projet. Tablant sur une mise en ligne dans le courant du 2e trimestre 2015, il se demande notamment pourquoi on n’utiliserait pas TLS partout dès à présent, puisque l’ensemble des data centers et des navigateurs Internet le supportent. Il poursuit : « Le défi est pour le certificat des serveurs. Le passage obligé pour toute communication TLS est l’obtention d’une clé publique qui authentifie le serveur. Pour de nombreux opérateurs, cette demande de certification est source de tracas, de confusion et peut s’avérer coûteuse. Par ailleurs, le certificat peut être difficile à installer et à mettre à jour« .
Pour remédier à ces difficultés, la délivrance des certificats sera gratuite et surtout automatisée, ce qui devrait réduire à une trentaine de secondes le temps nécessaire pour activer le chiffrement, contre – en général – plus d’une heure actuellement pour un développeur. Le protocole utilisé entre les serveurs Web et l’autorité de certification est connu sous le nom de ACME (« Automated Certificates Management Environment »).
La transparence sera assurée par la publication de la délivrance et de la révocation des certificats. Comme le note Silicon.fr, il s’agit là d’un point essentiel : on se rappelle l’affaire DigiNotar ou celle de Comodo en 2011, montrant les faiblesses des certificats en cas de vol. A l’époque, certains voulaient mettre fin à ce système de certification. Illustration avec l’initiative « Convergence », soutenue par l’expert en sécurité Moxie Marlinspike.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?