
Comme l’a mentionné Microsoft dans son annonce, le chiffrement RC4 a été largement supporté à travers les navigateurs web et les services en ligne, mais les attaques modernes ont montré qu’il peut être cassé en quelques jours voire en quelques heures. Le chiffrement RC4 sera donc désactivé par défaut dans IE 11 et Microsoft Edge – sur Windows 7, Windows 8, Windows 8.1 et Windows 10 - et ne sera plus utilisé lors des négociations TLS. Microsoft prévoit d’appliquer cette mesure au début de l’année prochaine.
Google prévoit également de désactiver RC4 dans une version à venir de Chrome aux alentours de janvier ou février 2016, et qu’à partir de ce moment, tous les serveurs HTTPS qui supportent seulement le chiffrement RC4 cesseront de fonctionner. Ils devraient donc planifier la prise en charge d’un chiffrement plus fort. Du côté de Mozilla, cette mesure sera effective dans la version Firefox 44 qui est annoncée pour le 26 janvier. La fin du support de RC4 signifie aussi que les navigateurs concernés ne vont plus se connecter aux serveurs qui exigent ce type de chiffrement.
L’algorithme de chiffrement RC4 a été créé en 1987 et fait partie de l’héritage d’une mesure du gouvernement US dans les années 90, interdisant l’expédition de produits logiciels qui utilisent des clés de chiffrement fort. Cette loi adoptée dans le cadre de la sécurité nationale a alors conduit à l’utilisation de clés de 512 bits maximum ; et même après son abolition, de nombreux navigateurs ont continué à utiliser ce type de chiffrement faible pour assurer la sécurité des données. Aujourd’hui, ce type de chiffrement est fortement remis en cause et est progressivement abandonné par les fournisseurs, alors qu'ils pourraient permettre à un attaquant de mener une attaque man-in-the-middle.
D’ailleurs, seulement une très petite portion de serveurs sera impactée par cette décision. Microsoft estime en effet que « le pourcentage de services web à risque qui supportent seulement RC4 est petit et en baisse ». Google estime à 0,13%, les utilisateurs de Chrome qui ont autorisé la collecte de statistiques, qui « rencontrent » des serveurs qui dépendent du chiffrement RC4. Du côté de Mozilla, ce pourcentage est évalué à seulement 0,08% d’utilisateurs de versions Release de Firefox et 0,05% d’utilisateurs de versions du navigateur.
Sources : Microsoft, Annonce de Google, Annonce de Mozilla
Et vous ?

Vous avez lu gratuitement 2 927 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.