Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft, Google et Mozilla annoncent la fin du support du chiffrement RC4 dans leurs navigateurs,
Dès le début de l'année prochaine

Le , par Michael Guilloux

100PARTAGES

6  0 
Microsoft, Google et Mozilla ont tous les trois annoncé la fin du support du chiffrement RC4 dans leurs navigateurs respectifs, à savoir Internet Explorer (IE), Microsoft Edge, Chrome et Firefox. Cette annonce est la réponse à un appel fait en février 2015 par l’Internet Engineering Task Force (IETF). L’IETF a en fait suggéré l’abandon du chiffrement RC4, alors qu’il s’est avéré susceptible d’exposer les plateformes à des risques de sécurité élevés.

Comme l’a mentionné Microsoft dans son annonce, le chiffrement RC4 a été largement supporté à travers les navigateurs web et les services en ligne, mais les attaques modernes ont montré qu’il peut être cassé en quelques jours voire en quelques heures. Le chiffrement RC4 sera donc désactivé par défaut dans IE 11 et Microsoft Edge – sur Windows 7, Windows 8, Windows 8.1 et Windows 10 - et ne sera plus utilisé lors des négociations TLS. Microsoft prévoit d’appliquer cette mesure au début de l’année prochaine.

Google prévoit également de désactiver RC4 dans une version à venir de Chrome aux alentours de janvier ou février 2016, et qu’à partir de ce moment, tous les serveurs HTTPS qui supportent seulement le chiffrement RC4 cesseront de fonctionner. Ils devraient donc planifier la prise en charge d’un chiffrement plus fort. Du côté de Mozilla, cette mesure sera effective dans la version Firefox 44 qui est annoncée pour le 26 janvier. La fin du support de RC4 signifie aussi que les navigateurs concernés ne vont plus se connecter aux serveurs qui exigent ce type de chiffrement.

L’algorithme de chiffrement RC4 a été créé en 1987 et fait partie de l’héritage d’une mesure du gouvernement US dans les années 90, interdisant l’expédition de produits logiciels qui utilisent des clés de chiffrement fort. Cette loi adoptée dans le cadre de la sécurité nationale a alors conduit à l’utilisation de clés de 512 bits maximum ; et même après son abolition, de nombreux navigateurs ont continué à utiliser ce type de chiffrement faible pour assurer la sécurité des données. Aujourd’hui, ce type de chiffrement est fortement remis en cause et est progressivement abandonné par les fournisseurs, alors qu'ils pourraient permettre à un attaquant de mener une attaque man-in-the-middle.

D’ailleurs, seulement une très petite portion de serveurs sera impactée par cette décision. Microsoft estime en effet que « le pourcentage de services web à risque qui supportent seulement RC4 est petit et en baisse ». Google estime à 0,13%, les utilisateurs de Chrome qui ont autorisé la collecte de statistiques, qui « rencontrent » des serveurs qui dépendent du chiffrement RC4. Du côté de Mozilla, ce pourcentage est évalué à seulement 0,08% d’utilisateurs de versions Release de Firefox et 0,05% d’utilisateurs de versions du navigateur.

Sources : Microsoft, Annonce de Google, Annonce de Mozilla

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !