Microsoft lance un appel à l'abandon définitif de l'algorithme RC4
Au profit de standards plus robustes

Le , par Cedric Chevalier, Expert éminent sénior
Créé en 1987 par Ron Rivest, l’algorithme RC4 a eu droit à sa période de gloire. Mais en raison de nombreuses études qui démontraient ses vulnérabilités et ses faiblesses, le standard aurait dû être abandonné au profit de plus robuste que lui.

Cela pourrait sembler difficile du moment où on croirait que RC4 est largement répandu. Mais, une étude a démontré le contraire. Réalisée sur 5 000 sites web, elle a prouvé que 57,45 % n’utilisaient plus RC4, et dans les 43 % restant, seul 3,90% exigeaient l’emploi de RC4.


Pour Microsoft, c’est le moment de franchir le cap. La firme lance un appel aux utilisateurs et développeurs pour l’abandon définitif de l’algorithme RC4. Et pour associer les paroles aux actes, Internet Explorer 11 va utiliser par défaut TLS v1.2 combiné à l’algorithme de chiffrement AES-GCM.

La firme a également mis en ligne une mise à jour (KB 2868725) qui permet aux systèmes d’exploitation antérieurs à Windows 8.1 (Windows 8, Windows 7, Windows RT, Server 2008 R2, et Server 2012) de ne plus utiliser l’algorithme. Néanmoins, une action manuelle de l’utilisateur est requise, puisqu’il devra se rendre dans le registre de Windows, pour apporter certaines modifications qui désactiveront définitivement l’utilisation de RC4.

Par ailleurs, Microsoft incite aussi à abandonner l’algorithme utilisé dans la vérification de l’intégrité des données SHA-1 (populaire dans le monde des certificats numériques). La raison évoquée se trouve dans les multiples collisions que des chercheurs ont trouvées. Pour rappel, on parle de collision lorsque des données différentes (deux au minimum) produisent la même valeur hachée.

Source: Blog Technet

Et vous ?

Utilisez-vous encore RC4 ? Que pensez-vous de cet algorithme ?

A-t-il encore sa place sur le Web ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de 10_GOTO_10 10_GOTO_10 - Membre éprouvé https://www.developpez.com
le 17/11/2013 à 21:13
Comment ça, ses vulnérabilités et ses faiblesses ? On m'aurait donc menti ? Moi qui croyais que:

RDP uses RSA Security's RC4 cipher, a stream cipher designed to efficiently encrypt small amounts of data. RC4 is designed for secure communications over networks. Administrators can choose to encrypt data by using a 56- or 128-bit key.


source : http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx
Avatar de mlp56 mlp56 - Inactif https://www.developpez.com
le 17/11/2013 à 22:16
nan mais pour faire des économies à la nsa ils pourraient abandonner tous les types de cryptages
Offres d'emploi IT
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil