En novembre 2013, Microsoft a lancé un appel à l’abandon définitif de l’algorithme de chiffrement RC4. Pour donner le ton, l’entreprise a décidé d’utiliser par défaut TLS v1.2 combiné à l’algorithme de chiffrement AES-GCM sur Internet Explorer 11. L’entreprise a également mis en ligne une mise à jour (KB 2868725) qui permet aux systèmes d’exploitation antérieurs à Windows 8.1 (Windows 8, Windows 7, Windows RT, Server 2008 R2, et Server 2012) de ne plus utiliser l’algorithme. Toutefois, une action manuelle de l’utilisateur était requise, puisqu’il devait se rendre dans le registre de Windows pour apporter certaines modifications pour voir désactiver définitivement l’utilisation de RC4.
En septembre de l’année dernière, Microsoft, Google et Mozilla ont annoncé leur intention de mettre fin au support du chiffrement RC4 dans leurs navigateurs respectifs, à savoir Internet Explorer (IE), Microsoft Edge, Chrome et Firefox. Une annonce qui a été faite suite à une suggestion de l’Internet Engineering Task Force (IETF) : en février 2015, l’organisme avait proposé l’abandon de ce chiffrement compte tenu du fait qu’il était susceptible d’exposer les plateformes à des risques de sécurité élevés.
Aussi, conformément à leur annonce, l’équipe Microsoft Edge a annoncé que la mise à jour cumulative qu’est le KB3151631 va désactiver la prise en charge du chiffrement RC4 dans Microsoft Edge (Windows 10) et Internet Explorer 11 (à partir de Windows 7).
Pour s’expliquer, les ingénieurs rappellent que « le RC4 est un algorithme de chiffrement à flot qui a été décrit pour la première en 1987 et a été largement pris en charge par les navigateurs Web ainsi que des services en ligne. Les attaques modernes ont démontré qu’il est possible de venir à bout de ce chiffrement en quelques heures ou quelques jours (...). En février 2015, ces nouvelles attaques ont incité l’Internet Engineering Task Force à interdire l'utilisation du RC4 avec TLS ».
Aussi, si Microsoft Edge et Internet Explorer 11 autorisaient un chiffrement RC4, ce dernier sera désormais entièrement désactivé par défaut pour les utilisateurs Microsoft Edge et Internet Explorer sur Windows 7, Windows 8 et Windows 8.1.
Microsoft pense que la plupart des utilisateurs ne vont pas percevoir le changement, étant donné que le pourcentage de services web qui font encore usage de cet algorithme est relativement faible. En 2013, d’après une étude réalisée sur 5000 sites web, plus de la moitié (57,45 %) n’utilisaient plus RC4. De plus, parmi le reste, seuls 3,90 % exigeaient l’emploi du RC4.
Toutefois, les ingénieurs conseillent aux développeurs dont les services web exigent encore l’emploi du RC4 d’effectuer des modifications. Microsoft avait déjà fourni une liste de recommandations en 2013 sur la désactivation de l’algorithme RC4.
Recommandations sur la désactivation de l'algorithme RC4
Source : blog Windows
Voir aussi :
Microsoft lance un appel à l'abandon définitif de l'algorithme RC4 au profit de standards plus robustes
Microsoft abandonne le support de l'algorithme de chiffrement RC4 sur IE 11 et Edge
Les webmasters sont invités à effectuer des modifications
Microsoft abandonne le support de l'algorithme de chiffrement RC4 sur IE 11 et Edge
Les webmasters sont invités à effectuer des modifications
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !