Créé en 1987 par Ron Rivest, l’algorithme RC4 a eu droit à sa période de gloire. Mais en raison de nombreuses études qui démontraient ses vulnérabilités et ses faiblesses, le standard aurait dû être abandonné au profit de plus robuste que lui.Cela pourrait sembler difficile du moment où on croirait que RC4 est largement répandu. Mais, une étude a démontré le contraire. Réalisée sur 5 000 sites web, elle a prouvé que 57,45 % n’utilisaient plus RC4, et dans les 43 % restant, seul 3,90% exigeaient l’emploi de RC4.
Pour Microsoft, c’est le moment de franchir le cap. La firme lance un appel aux utilisateurs et développeurs pour l’abandon définitif de l’algorithme RC4. Et pour associer les paroles aux actes, Internet Explorer 11 va utiliser par défaut TLS v1.2 combiné à l’algorithme de chiffrement AES-GCM.
La firme a également mis en ligne une mise à jour (KB 2868725) qui permet aux systèmes d’exploitation antérieurs à Windows 8.1 (Windows 8, Windows 7, Windows RT, Server 2008 R2, et Server 2012) de ne plus utiliser l’algorithme. Néanmoins, une action manuelle de l’utilisateur est requise, puisqu’il devra se rendre dans le registre de Windows, pour apporter certaines modifications qui désactiveront définitivement l’utilisation de RC4.
Par ailleurs, Microsoft incite aussi à abandonner l’algorithme utilisé dans la vérification de l’intégrité des données SHA-1 (populaire dans le monde des certificats numériques). La raison évoquée se trouve dans les multiples collisions que des chercheurs ont trouvées. Pour rappel, on parle de collision lorsque des données différentes (deux au minimum) produisent la même valeur hachée.
Source: Blog Technet
Et vous ?
Utilisez-vous encore RC4 ? Que pensez-vous de cet algorithme ? A-t-il encore sa place sur le Web ? 
