Comment un organisme à but non lucratif dont vous n’avez jamais entendu parler a rendu le web plus sûr pour tous

En rendant le cryptage gratuit et facile, Let’s Encrypt a résolu l’un des plus gros problèmes du web. Son secret ? Un souci maniaque d’automatisation et d’efficacité, rapporte Fastcompany.

Let’s Encrypta émis son milliardième certificat numérique il y a quelques semaines. Ce service, géré par l’Internet Security Research Group (ISRG), un organisme à but non lucratif, fournit gratuitement ces certificats aux sites web, permettant à votre navigateur de créer une connexion sécurisée et validée à un serveur qui est effectivement impénétrable pour l’espionnage. La pandémie n’a pas stoppé la progression du groupe : Il affirme avoir délivré plus de 1 080 000 000 de certificats.

Le fait que Let’s Encrypt ne fasse pas payer ce service est un fait important. Un certificat numérique pour un site web – également utile pour les serveurs de courrier électronique et autres systèmes client/serveur – coûtait autrefois des centaines de dollars par an pour une version de base et encore plus pour une version plus complète. Pour les petits sites, ce seul coût constituait un obstacle.

Bien que le prix ait considérablement baissé avant que Let’s Encrypt ne commence à émettre ses certificats gratuitement en 2015, et que certains émetteurs commerciaux aient offert des certificats gratuits sur une base limitée, le cryptage d’un site n’était pas une mince affaire. Il exigeait une expertise technique et la capacité de s’y retrouver dans des configurations de ligne de commande.

Let’s Encrypt n’avait pas pour but de lancer une guerre des prix et donc de détruire un marché existant. En rendant le cryptage gratuit et simple, l’organisation a joué un rôle important dans le passage au cryptage de l’ensemble de la navigation sur le web, qui a permis de doubler le nombre de sites sécurisés, passant de 40 à 80 % de l’ensemble des sites depuis 2016.

Comme le dit Josh Aas, directeur exécutif et cofondateur de l’ISRG, l’organisation souhaite que chacun puisse « sortir et participer pleinement au web sans avoir à payer des centaines de dollars pour faire quelque chose ». Le fait de fixer le coût à zéro profite aux utilisateurs de chaque site et à Internet dans son ensemble.

Google suit les informations fournies par les utilisateurs du navigateur Chrome sur le type de connexions qu’ils effectuent. Il montre que les connexions sécurisées sont passées de 39 % (Windows) et 43 % (Mac) au début de l’année 2015 à 88 et 93 % respectivement le 11 avril 2020. Une source indique que Let’s Encrypt fournit désormais 30 % de tous les certificats numériques de sites web. Deux cents millions de sites web utilisent désormais ses certificats, selon l’organisation.

Cette augmentation spectaculaire du cryptage sur le web protège les personnes contre certains suivis commerciaux indésirables et contre l’espionnage par des parties malveillantes et des acteurs gouvernementaux. Il a fallu l’initiative Let’s Encrypt comme catalyseur pour la mettre à la portée de tous les sites web.

Bloquer un espionnage sans précédent

Après la révélation de la portée et de la nature de la collecte de données à grande échelle et de routine par les agences de sécurité nationale américaines, qui s’est ajoutée aux habitudes déjà connues et suspectées d’autres démocraties et pays répressifs, les entreprises technologiques se sont fortement orientées vers le cryptage des connexions partout où elles le pouvaient. Cela signifiait davantage de cryptage entre les centres de données gérés par la même entreprise (comme l’a ajouté Google à partir de 2013), le cryptage des données au repos stockées sur des serveurs, et les fabricants de navigateurs attirant l’attention des utilisateurs sur les sessions web non protégées.

Cette dernière partie était essentielle, car Chrome, Firefox et Safari ont lentement augmenté les avertissements sur les connexions non cryptées – et ont finalement transformé ces avertissements en messages d’erreur. Mais cela aurait également pu être injuste pour les petits sites web, en particulier ceux des pays en développement et ceux gérés par des organisations à but non lucratif, des groupes de bénévoles et des petites entreprises n’ayant pas les moyens de mettre en œuvre le cryptage. Sans un moyen facile pour la plupart des organisations de sécuriser leurs sites, cela aurait balkanisé le net.

Let’s Encrypt s’est lancé dans ce vide grandissant. Aujourd’hui soutenue financièrement par une série de grandes entreprises technologiques – bien que le nom d’Apple soit étrangement et sensiblement absent – la société est passée avec succès d’un million de certificats par an à un million par jour en seulement quatre ans.

Nous voulons nous assurer que lorsque quelqu’un nous confie un dollar, nous faisons le maximum de travail avec ce dollar ».Josh Aas, directeur exécutif de l’ISRG

L’Aas de l’ISRG affirme que l’organisation a un personnel très réduit, c’est pourquoi elle privilégie une plus grande automatisation et moins de dépenses. « Un grand nombre de nos projets visent à devenir plus efficaces », dit-il. L’ISRG fonctionne avec un budget annuel de 3,6 millions de dollars, qui n’a que légèrement augmenté depuis sa première année de pleine production, en 2016.

« Nous voulons nous assurer que lorsque quelqu’un nous confie un dollar, nous faisons le plus de travail possible avec ce dollar », explique M. Aas. Par exemple, dit-il, le groupe s’appuie sur trois serveurs de base de données très coûteux et extrêmement fiables. Chacun coûte 100 000 dollars ou plus, mais la configuration offre une triple redondance. L’utilisation d’un matériel plus courant et moins cher nécessiterait davantage de personnel pour assurer la maintenance.

L’ISRG a également conservé une mission extrêmement étroite axée sur la délivrance de certificats. Et il n’offre aucun service d’assistance à la clientèle, bien qu’il dispose d’une communauté riche et active qu’il encourage et qui améliore sans cesse la documentation en ligne. Le fait de ne pas offrir de soutien entraîne « une énorme pression interne pour s’assurer que les gens n’ont pas besoin de soutien », explique M. Aas. « Le développement de la communauté est une part importante de notre efficacité ».

Certaines grandes sociétés d’hébergement ont adopté Let’s Encrypt comme une méthode efficace et gratuite pour ajouter des certificats numériques aux sites de leurs utilisateurs, sans pratiquement aucuns frais généraux. Elles peuvent automatiser le processus de demande, de réception et d’installation d’un certificat, un processus nettement moins intensif que toutes les méthodes précédentes. (Let’s Encrypt s’est concentré sur l’automatisation et a passé trois ans à mener à bien un projet pertinent de l‘Internet Engineering Task Force jusqu’à une proposition de norme en mars 2019).

L’interface administrative cPanel, largement utilisée, propose Let’s Encrypt comme une option de type « pointer-cliquer » pour installer un certificat. Mais il est tout aussi trivial de l’utiliser manuellement.

Sans conditions

La plupart des choses « gratuites » sur Internet ont un prix élevé, qui implique généralement de renoncer à notre vie privée. Let’s Encrypt est la rare organisation qui fait quelque chose d’utile et qui contrôle son champ d’action et son budget, afin d’être plus efficace chaque jour. L’organisation ne sait pratiquement rien des parties qui demandent des certificats – elle ne demande même pas d’adresse électronique – et ne conserve pratiquement rien. Elle s’appuie entièrement sur la propriété du domaine comme preuve de l’identité d’un utilisateur. C’est suffisant, car un certificat ne fait que valider que quelqu’un exploite le domaine qu’il sécurise.

Avec sa mission limitée, Aas affirme que l’ISRG a encore beaucoup de gains d’efficacité à récolter et d’améliorations à apporter, même s’il se concentre sur ses opérations quotidiennes. « Nous prenons le temps de bien faire les choses, mais nous ne prenons pas plus de temps qu’il n’en faut pour y arriver », dit-il. Le groupe a mis des années à devenir une autorité de certification (AC), par exemple, ce qui en fait l’une des quelques centaines d’organisations qui, parmi une poignée de fabricants de systèmes d’exploitation et de navigateurs, sont à l’origine de la confiance accordée aux certificats.

Et juste avant l’émission du milliardième certificat, Let’s Encrypt a mis en œuvre une technique de sécurité, la première par une AC, qui bloque efficacement la capacité d’une partie malveillante à contourner une faille dans le système de routage des données d’Internet et à obtenir frauduleusement un certificat de domaine. (Elle a entièrement documenté sa nouvelle technologie afin que d’autres puissent en bénéficier également).

À bien des égards, Let’s Encrypt est un retour à l’internet précommercial, où une combinaison de générosité, d’avantages mutuels et d’intérêt personnel éclairé a permis des améliorations rapides. Ses certificats gratuits sont un billet d’entrée pour le passé, mais avec des efficacités technologiques modernes qui le maintiennent tourné vers l’avenir.

Via Fastcompany

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.