Le shutdown, synonyme de certificats TLS non renouvelés pour les sites gouvernementaux US

Environ 80 sites en .gov, appartenant à l’administration fédérale américaine, n’ont plus de certificats TLS à jour. La faute, a priori, au shutdown qui fait tourner l’administration au ralenti depuis la fin de l’année dernier.

Le blocage politique aux Etats-Unis affecte sévèrement les activités de l’administration fédérale. L’informatique n’est pas épargnée. On sait que certains services, à l’instar de l’agence américaine en charge des systèmes d’information, ont vu jusqu’à 30% de leurs effectifs mis au chômage technique. Dans le cas de data.gov, l’organisme en charge de l’ouverture des données de l’administration, c’est la paralysie complète.

Mais le shutdown a un autre effet pervers : pour certains domaines ou sous-domaines des sites gouvernementaux, les certificats TLS n’ont pas été renouvelés. D’après Netcraft, une entreprise spécialisée en sécurité, ce sont environ 80 certificats qui ont expiré sans que des mesures ne soient prises pour renouveler les certificats.

Domaines non-vitaux

Sont cités notamment des sous-domaines du Département de la Justice ou encore de la NASA. Sous Chrome, tenter d’accéder à ces sites se conclut sur une page d’alerte indiquant que la connexion n’est pas sécurisée. Pour la Cour d’Appel du circuit fédéral, c’est l’ensemble du domaine http://www.cafc.uscourts.gov qui n’est plus sécurisé, quoique le site soit encore accessible.

On notera qu’un certain nombre de ces sites ont depuis été tout simplement mis hors ligne. Cerise sur le gâteau, le site USA.gov, permettant de signaler et de recenser ce genre de problèmes, n’est plus mis à jour depuis le début du shutdown.