Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, point n'est besoin de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.C'est dans ce contexte qu'ont été lancés en 2015 les services publics de l'autorité de certification Let’s Encrypt, qui offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits pour le protocole de chiffrement TLS. Avec ces services, Let’s Encrypt souhaite offrir un web à 100 % sécurisé en permettant aux entités qui disposent de peu de ressources financières et techniques d’utiliser ses services pour sécuriser leurs sites web.
Pour faciliter le déploiement et l’adoption du HTTPS sur le Web, l’autorité a utilisé différentes stratégies. Par exemple, elle a offre gratuitement à travers la version 2 du protocole ACME (Automated Certificate Management Environment) des « wildcard certificates » (certificats génériques) depuis mars 2018. Ils ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs peuvent utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’était le cas jusqu’à ce moment-là.
L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin 2017, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's Encrypt était utilisé par 13,70 % du total des domaines français enregistrés.
Après avoir lancé les certificats génériques en mars 2018, Let’s Encrypt a vu son trafic exploser : selon le baromètre NetTrack, les certificats délivrés par Let’s Encrypt représentaient 51,21 % de part de marché en avril 2018, bien loin de COMODO CA Limited qui occupait la seconde place avec ses 14,82 % de PDM. GoDaddy.com venait en troisième position avec 6,14 % de PDM.
Un milliard de certificats SSL/TLS depuis le lancement en 2015
En février 2020, Let's Encrypt a indiqué avoir livré un milliard de certificats sur le Web. L’annonce a été faite par Josh Aas et Sarah Gran sur le blog de l’entreprise :
« Nous avons délivré notre milliardième certificat le 27 février 2020. Nous allons utiliser ce grand chiffre rond comme une occasion de réfléchir à ce qui a changé pour nous et pour Internet, menant à cet événement. En particulier, nous voulons parler de ce qui s'est passé depuis la dernière fois que nous avons parlé d'un grand nombre de certificats – cent millions.
« Une chose qui est différente maintenant, c'est que le Web est beaucoup plus crypté qu'il ne l'était. En juin 2017, environ 5 8 % des chargements de pages utilisaient HTTPS dans le monde, 64 % aux États-Unis. Aujourd'hui, 8 1 % des chargements de pages utilisent HTTPS dans le monde, et nous sommes à 91 % aux États-Unis! C'est une réalisation incroyable. C’est beaucoup plus de confidentialité et de sécurité pour tout le monde.
« Une autre chose qui est différente, c'est que notre organisation s'est un peu développée, mais pas beaucoup! En juin 2017, nous desservions environ 46 millions de sites Web, et nous l'avons fait avec 11 employés à temps plein et un budget annuel de 2,61 millions de dollars. Aujourd'hui, nous desservons près de 192 millions de sites Web avec 13 employés à temps plein et un budget annuel d'environ 3,35 millions de dollars. Cela signifie que nous desservons plus de 4x les sites Web avec seulement deux employés supplémentaires et une augmentation de 28% du budget. Le personnel et le budget supplémentaires ont fait plus que simplement...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
.
. Le protocole WEP proposé correspondait à la seule attaque RC4 alors connue (cf. Roos et Wagner). Leurs travaux reposaient sur la connaissance des 3 premiers octets de la clef RC4. Pas de problème ! Il suffisait de définir l'IV (communiqué en clair) comme faisant partie des premiers octets de la clef RC4. Mais la NSA n'a pas été seule dans cette affaire, les premiers outils d'exploitation sont apparus dans la foulée dont ceux de Christophe Devine (auteur d'aircrack).