L’écosystème de la sécurité sur Internet a pris un tournant inattendu en 2015 avec la création de Let’s Encrypt, une


autorité de certification


L’autorité de Certification (AC) est une entité de confiance…

(CA) à but non lucratif qui a apporté une nouvelle approche au processus de délivrance des certificats numériques. Soutenue par des noms éminents tels que Mozilla, Akamai, Cisco, IdenTrust et l’Electronic Frontier Foundation (EFF),
Let’s Encrypt s’est présenté au monde avec une promesse ambitieuse : « C’est gratuit, automatisé et ouvert ». Peu de temps après son lancement officiel, Google Chrome a rejoint le projet en tant que sponsor, consolidant ainsi sa position en tant qu’un des acteurs les plus influents sur le marché des certificats numériques.

Cependant, ce phénomène pose des questions sur la dépendance de l’infrastructure critique d’Internet envers les entités nord-américaines et son impact global, en particulier dans des régions comme l’Europe.

L’automatisation : La clé du succès de Let’s Encrypt

L’une des plus grandes avancées introduites par Let’s Encrypt a été l’automatisation dans la délivrance des certificats. En 2019, l’IETF (Internet Engineering Task Force) a publié la norme RFC8555, qui décrit le protocole Automatic Certificate Management Environment (ACME), développé en grande partie par les mêmes créateurs de Let’s Encrypt. Ce protocole permet aux serveurs Web d’obtenir, de renouveler et de révoquer des certificats numériques de manière automatique, supprimant les complexités manuelles et rendant la sécurité HTTPS plus accessible pour les développeurs et les petites entreprises.

Toutefois, l’automatisation de Let’s Encrypt présente une limitation significative : elle n’émet que des certificats de validation de domaine (DV, Domain Validation). Cela signifie qu’elle garantit que le demandeur contrôle le domaine, mais ne vérifie pas l’identité de l’organisation ou de la personne derrière celui-ci. Cela contraste avec les certificats QWAC (Qualified Website Authentication Certificates) réglementés par l’eIDAS européen, qui exigent une analyse plus approfondie de l’identité naturelle et juridique du demandeur, respectant l’idiosyncrasie de chaque pays.

La croissance exponentielle de Let’s Encrypt

Depuis sa sortie de la phase bêta en janvier 2016, Let’s Encrypt a connu une croissance explosive. Aujourd’hui, il a émis des milliards de certificats et est devenu l’une des CA les plus utilisées dans le monde. En 2020, l’organisation a commencé à opérer avec sa propre racine de certification, rompant partiellement sa dépendance envers IdenTrust, qui faisait partie du projet depuis le début. Cela a également coïncidé avec un changement dans la distribution mondiale des certificats numériques, où Let’s Encrypt domine largement le marché.

Cependant, cette croissance pose des défis pour d’autres autorités de certification. Par exemple, Digicert, l’une des rares CA européennes pertinentes, a perdu des parts de marché face à des concurrents nord-américains, tandis que les chiffres d’IdenTrust ont diminué en raison de sa relation historique avec Let’s Encrypt.

Europe : Un géant numérique avec peu d’infrastructures propres

L’Europe est la troisième région économique la plus importante du monde en nombre d’utilisateurs d’Internet, avec 448 millions d’habitants et une pénétration de 99 %. Cependant, dans le domaine des autorités de certification et d’autres infrastructures critiques du web, son rôle est marginal. Parmi les principales CA utilisées à l’échelle mondiale, seule Digicert a des racines européennes, et sa part de marché est significativement inférieure à celle de ses concurrents américains.

Le dominion nord-américain ne se limite pas aux CA. Les navigateurs web, la porte d’accès à Internet pour des milliards de personnes, sont également sous contrôle étranger. Seuls deux navigateurs européens, Vivaldi et Mullvad, ont une certaine pertinence, tandis que Opera, autrefois norvégien, est passé sous contrôle chinois en 2016. Même Mozilla, connu pour sa transparence et son modèle open-source, est profondément influencé par le point de vue nord-américain, tant dans sa gestion que dans son financement.

L’impact global du dominion nord-américain

La dépendance aux infrastructures nord-américaines dans un écosystème aussi globalisé qu’Internet pose des risques stratégiques et économiques. Contrôler des éléments clés tels que les CA, les navigateurs et les protocoles de communication permet aux États-Unis de maintenir une influence significative sur la manière dont la sécurité sur le web est garantie. En outre, ce dominion rend difficile l’autonomie numérique de régions comme l’Europe, qui, malgré des initiatives telles que l’eIDAS, n’a pas réussi à établir des alternatives compétitives en matière d’infrastructure technologique.

L’eIDAS, avec son accent sur les certificats qualifiés tels que les QWAC, a tenté de poser les bases d’une réglementation solide et adaptée à la réalité numérique européenne. Cependant, l’échec dans l’adoption d’outils tels que les Nœuds eIDAS et le manque d’investissement dans des infrastructures propres ont limité son impact, laissant la place libre à des projets plus agiles et globaux comme Let’s Encrypt.

Conclusion

Let’s Encrypt a démocratisé l’accès à la sécurité web avec son approche gratuite, automatisée et ouverte, ce qui a conduit à une augmentation de l’adoption des certificats HTTPS dans le monde entier. Cependant, ce succès met également en évidence la dépendance croissante aux infrastructures critiques d’origine nord-américaine. L’Europe, malgré sa position clé en termes d’utilisateurs d’Internet, reste à la traîne dans la gestion de sa propre infrastructure technologique.

L’histoire de Let’s Encrypt et le dominion des CA américaines soulignent la nécessité d’une approche plus stratégique et coordonnée de la part de l’Europe pour protéger sa souveraineté numérique et garantir que la prochaine génération d’outils de sécurité web ne dépende pas uniquement d’acteurs étrangers.