Developpez.com

Le Club des Développeurs et IT Pro

Microsoft lance un appel à l'abandon définitif de l'algorithme RC4

Au profit de standards plus robustes

Le 2013-11-14 13:55:41, par Cedric Chevalier, Expert éminent sénior
Créé en 1987 par Ron Rivest, l’algorithme RC4 a eu droit à sa période de gloire. Mais en raison de nombreuses études qui démontraient ses vulnérabilités et ses faiblesses, le standard aurait dû être abandonné au profit de plus robuste que lui.

Cela pourrait sembler difficile du moment où on croirait que RC4 est largement répandu. Mais, une étude a démontré le contraire. Réalisée sur 5 000 sites web, elle a prouvé que 57,45 % n’utilisaient plus RC4, et dans les 43 % restant, seul 3,90% exigeaient l’emploi de RC4.


Pour Microsoft, c’est le moment de franchir le cap. La firme lance un appel aux utilisateurs et développeurs pour l’abandon définitif de l’algorithme RC4. Et pour associer les paroles aux actes, Internet Explorer 11 va utiliser par défaut TLS v1.2 combiné à l’algorithme de chiffrement AES-GCM.

La firme a également mis en ligne une mise à jour (KB 2868725) qui permet aux systèmes d’exploitation antérieurs à Windows 8.1 (Windows 8, Windows 7, Windows RT, Server 2008 R2, et Server 2012) de ne plus utiliser l’algorithme. Néanmoins, une action manuelle de l’utilisateur est requise, puisqu’il devra se rendre dans le registre de Windows, pour apporter certaines modifications qui désactiveront définitivement l’utilisation de RC4.

Par ailleurs, Microsoft incite aussi à abandonner l’algorithme utilisé dans la vérification de l’intégrité des données SHA-1 (populaire dans le monde des certificats numériques). La raison évoquée se trouve dans les multiples collisions que des chercheurs ont trouvées. Pour rappel, on parle de collision lorsque des données différentes (deux au minimum) produisent la même valeur hachée.

Source: Blog Technet

Et vous ?

Utilisez-vous encore RC4 ? Que pensez-vous de cet algorithme ?

A-t-il encore sa place sur le Web ?
  Discussion forum
2 commentaires
  • 10_GOTO_10
    Membre expérimenté
    Comment ça, ses vulnérabilités et ses faiblesses ? On m'aurait donc menti ? Moi qui croyais que:

    RDP uses RSA Security's RC4 cipher, a stream cipher designed to efficiently encrypt small amounts of data. RC4 is designed for secure communications over networks. Administrators can choose to encrypt data by using a 56- or 128-bit key.

    source : http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx
  • mlp56
    Inactif
    nan mais pour faire des économies à la nsa ils pourraient abandonner tous les types de cryptages