Le cadenas de votre navigateur : un risque géopolitique méconnu
Le cadenas de votre navigateur repose sur une seule organisation — et ce n'est pas anodin
Quand vous voyez ce petit cadenas vert dans la barre d'adresse de votre navigateur, vous faites confiance à une autorité de certification pour vous confirmer que le site que vous consultez est bien légitime. Pour l'immense majorité du web, cette vérification vient d'un seul acteur : Let's Encrypt.
Ce n'est pas qu'une question de certificats gratuits
En 2014, Let's Encrypt a lancé un pari audacieux : rendre les certificats HTTPS gratuits et automatiques. Avant eux, obtenir un certificat impliquait des processus de vérification complexes, des coûts parfois élevés (souvent plusieurs centaines d'euros par an), et des renouvellements manuels fastidieux. Pour les petits développeurs et les startups, c'était un vrai frein à une présence web sécurisée.
Let's Encrypt a changé la donne. En automatisant tout le cycle de vie des certificats et en supprimant les frais, ils ont transformé la sécurité web d'un luxe en standard minimum. Aujourd'hui, lancer un site sécurisé en quelques minutes sans débourser un centime pour les certificats, c'est possible. Une vraie démocratisation de l'internet.
Le problème de la concentration
Et c'est là que les choses se corsent. D'après les données du tableau de transparence de Cloudflare, Let's Encrypt émet plus de la moitié de tous les certificats web. En regardant vos propres habitudes de navigation, vous constaterez peut-être que près de la moitié des sites que vous consultez quotidiennement utilisent des certificats Let's Encrypt.
Cette concentration interpelle quand on sait que Let's Encrypt a récemment mis à jour ses conditions : ils intègrent désormais explicitement la conformité aux sanctions américaines dans leurs conditions d'utilisation. Concrètement, les entités sous sanctions américaines — particuliers, organisations, voire pays entiers — ne peuvent plus obtenir de certificats Let's Encrypt.对他们来说 obtenir une protection HTTPS légitime devient impossible.
Pourquoi est-ce que ça devrait vous importer ?
Vous vous dites peut-être : « Je ne suis pas sous sanctions, ça ne me concerne pas. » C'est légitime, mais vous risquez de passer à côté de l'essentiel.
Quand une seule organisation, soumise aux lois d'un seul pays, contrôle l'essentiel des infrastructures de sécurité web, on crée un véritable point de fragilité géopolitique. Ce petit cadenas dans votre navigateur — qui représente la confiance, la sécurité, les communications chiffrées — dépend du respect des lois d'un État. Ce n'est pas un scénario hypothétique : des organisations et des individus en subissent déjà les conséquences.
Pour les développeurs qui construisent des produits à ambition mondiale, cette concentration représente à la fois une dépendance technique et un risque géopolitique. Que se passe-t-il si les exigences de conformité s'élargissent ? Si d'autres juridictions commencent à réclamer des contrôles similaires ? On confie en réalité des infrastructures internet critiques aux décisions de politique étrangère d'un gouvernement.
Vers quoi on va ?
Tout cela ne veut pas dire que Let's Encrypt est malveillant ni qu'il faut abandonner HTTPS. Le service reste précieux, et l'équipe derrière a accompli un travail remarquable pour sécuriser le web.
Mais la conscience de ces enjeux compte. La diversification compte. L'écosystème des autorités de certification a besoin d'une concurrence saine et d'une distribution géographique de la confiance. Des acteurs comme Cloudflare, Google Trust Services ou des autorités régionales jouent un rôle important, mais aucun n'a atteint l'échelle de Let's Encrypt.
Si vous concevez des systèmes pour des audiences internationales, réfléchissez à quelles autorités émettent vos certificats. Documentez vos dépendances. Prévoyez des plans de secours. Ce petit cadenas dans votre navigateur peut sembler anodin, mais il repose sur une infrastructure aux implications politiques bien réelles — et ça mérite qu'on s'y attarde.
La sécurité du web ne devrait jamais dépendre d'un point de contrôle unique, qu'il s'agisse d'une entreprise, d'un gouvernement ou d'une ONG. En tant que bâtisseurs d'internet, nous avons la responsabilité de questionner ces dépendances, même quand elles sont enveloppées dans le confort familier d'un cadenas vert.