IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

Microsoft, Google et Mozilla annoncent la fin du support du chiffrement RC4 dans leurs navigateurs


Sujet :

Conception Web

  1. 02/09/2015, 20h00 #1
    Michael Guilloux
    Michael Guilloux est déconnecté
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 889
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 889
    Points : 87 226
    Points
    87 226
    Billets dans le blog
    2
    Par défaut Microsoft, Google et Mozilla annoncent la fin du support du chiffrement RC4 dans leurs navigateurs
    Microsoft, Google et Mozilla annoncent la fin du support du chiffrement RC4 dans leurs navigateurs
    Dès le début de l’année prochaine

    Microsoft, Google et Mozilla ont tous les trois annoncé la fin du support du chiffrement RC4 dans leurs navigateurs respectifs, à savoir Internet Explorer (IE), Microsoft Edge, Chrome et Firefox. Cette annonce est la réponse à un appel fait en février 2015 par l’Internet Engineering Task Force (IETF). L’IETF a en fait suggéré l’abandon du chiffrement RC4, alors qu’il s’est avéré susceptible d’exposer les plateformes à des risques de sécurité élevés.

    Comme l’a mentionné Microsoft dans son annonce, le chiffrement RC4 a été largement supporté à travers les navigateurs web et les services en ligne, mais les attaques modernes ont montré qu’il peut être cassé en quelques jours voire en quelques heures. Le chiffrement RC4 sera donc désactivé par défaut dans IE 11 et Microsoft Edge – sur Windows 7, Windows 8, Windows 8.1 et Windows 10 - et ne sera plus utilisé lors des négociations TLS. Microsoft prévoit d’appliquer cette mesure au début de l’année prochaine.

    Google prévoit également de désactiver RC4 dans une version à venir de Chrome aux alentours de janvier ou février 2016, et qu’à partir de ce moment, tous les serveurs HTTPS qui supportent seulement le chiffrement RC4 cesseront de fonctionner. Ils devraient donc planifier la prise en charge d’un chiffrement plus fort. Du côté de Mozilla, cette mesure sera effective dans la version Firefox 44 qui est annoncée pour le 26 janvier. La fin du support de RC4 signifie aussi que les navigateurs concernés ne vont plus se connecter aux serveurs qui exigent ce type de chiffrement.

    L’algorithme de chiffrement RC4 a été créé en 1987 et fait partie de l’héritage d’une mesure du gouvernement US dans les années 90, interdisant l’expédition de produits logiciels qui utilisent des clés de chiffrement fort. Cette loi adoptée dans le cadre de la sécurité nationale a alors conduit à l’utilisation de clés de 512 bits maximum ; et même après son abolition, de nombreux navigateurs ont continué à utiliser ce type de chiffrement faible pour assurer la sécurité des données. Aujourd’hui, ce type de chiffrement est fortement remis en cause et est progressivement abandonné par les fournisseurs, alors qu'ils pourraient permettre à un attaquant de mener une attaque man-in-the-middle.

    D’ailleurs, seulement une très petite portion de serveurs sera impactée par cette décision. Microsoft estime en effet que « le pourcentage de services web à risque qui supportent seulement RC4 est petit et en baisse ». Google estime à 0,13%, les utilisateurs de Chrome qui ont autorisé la collecte de statistiques, qui « rencontrent » des serveurs qui dépendent du chiffrement RC4. Du côté de Mozilla, ce pourcentage est évalué à seulement 0,08% d’utilisateurs de versions Release de Firefox et 0,05% d’utilisateurs de versions du navigateur.

    Sources : Microsoft, Annonce de Google, Annonce de Mozilla

    Et vous ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   6  0
  2. 10/08/2016, 20h54 #2
    Stéphane le calme
    Stéphane le calme est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 460
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 460
    Points : 197 891
    Points
    197 891
    Par défaut Microsoft abandonne le support de l'algorithme de chiffrement RC4 sur IE 11 et Microsoft Edge
    Microsoft abandonne le support de l'algorithme de chiffrement RC4 sur IE 11 et Microsoft Edge,
    les webmasters qui l'utilisent sont invités à effectuer des modifications

    En novembre 2013, Microsoft a lancé un appel à l’abandon définitif de l’algorithme de chiffrement RC4. Pour donner le ton, l’entreprise a décidé d’utiliser par défaut TLS v1.2 combiné à l’algorithme de chiffrement AES-GCM sur Internet Explorer 11. L’entreprise a également mis en ligne une mise à jour (KB 2868725) qui permet aux systèmes d’exploitation antérieurs à Windows 8.1 (Windows 8, Windows 7, Windows RT, Server 2008 R2, et Server 2012) de ne plus utiliser l’algorithme. Toutefois, une action manuelle de l’utilisateur était requise, puisqu’il devait se rendre dans le registre de Windows pour apporter certaines modifications pour voir désactiver définitivement l’utilisation de RC4.

    En septembre de l’année dernière, Microsoft, Google et Mozilla ont annoncé leur intention de mettre fin au support du chiffrement RC4 dans leurs navigateurs respectifs, à savoir Internet Explorer (IE), Microsoft Edge, Chrome et Firefox. Une annonce qui a été faite suite à une suggestion de l’Internet Engineering Task Force (IETF) : en février 2015, l’organisme avait proposé l’abandon de ce chiffrement compte tenu du fait qu’il était susceptible d’exposer les plateformes à des risques de sécurité élevés.

    Aussi, conformément à leur annonce, l’équipe Microsoft Edge a annoncé que la mise à jour cumulative qu’est le KB3151631 va désactiver la prise en charge du chiffrement RC4 dans Microsoft Edge (Windows 10) et Internet Explorer 11 (à partir de Windows 7).

    Pour s’expliquer, les ingénieurs rappellent que « le RC4 est un algorithme de chiffrement à flot qui a été décrit pour la première en 1987 et a été largement pris en charge par les navigateurs Web ainsi que des services en ligne. Les attaques modernes ont démontré qu’il est possible de venir à bout de ce chiffrement en quelques heures ou quelques jours (...). En février 2015, ces nouvelles attaques ont incité l’Internet Engineering Task Force à interdire l'utilisation du RC4 avec TLS ».

    Aussi, si Microsoft Edge et Internet Explorer 11 autorisaient un chiffrement RC4, ce dernier sera désormais entièrement désactivé par défaut pour les utilisateurs Microsoft Edge et Internet Explorer sur Windows 7, Windows 8 et Windows 8.1.

    Microsoft pense que la plupart des utilisateurs ne vont pas percevoir le changement, étant donné que le pourcentage de services web qui font encore usage de cet algorithme est relativement faible. En 2013, d’après une étude réalisée sur 5000 sites web, plus de la moitié (57,45 %) n’utilisaient plus RC4. De plus, parmi le reste, seuls 3,90 % exigeaient l’emploi du RC4.

    Toutefois, les ingénieurs conseillent aux développeurs dont les services web exigent encore l’emploi du RC4 d’effectuer des modifications. Microsoft avait déjà fourni une liste de recommandations en 2013 sur la désactivation de l’algorithme RC4.

    Recommandations sur la désactivation de l'algorithme RC4

    Source : blog Windows

    Voir aussi :

    Microsoft lance un appel à l'abandon définitif de l'algorithme RC4 au profit de standards plus robustes
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   4  0
ActualitésFAQs WebTutoriels WebSources WebLivres WebOutils Web
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Microsoft annonce la fin du support standard de Windows Phone 7.8
    Par Hinault Romaric dans le forum Windows Phone
    Réponses: 9
    Dernier message: 10/07/2014, 16h01
  2. Microsoft annonce la fin du support de Windows 8.1
    Par Hinault Romaric dans le forum Windows
    Réponses: 22
    Dernier message: 13/05/2014, 10h57
  3. Microsoft annonce la fin du support de Microsoft Security Essential pour Windows XP
    Par Francis Walter dans le forum Sécurité
    Réponses: 9
    Dernier message: 17/01/2014, 12h40
  4. Microsoft ne patche pas une faille critique et annonce la fin du support de Windows 2000 et Windows XP SP2
    Par Katleen Erna dans le forum Windows
    Réponses: 72
    Dernier message: 23/12/2009, 16h18
  5. Microsoft ne patche pas une faille critique et annonce la fin du support de Windows 2000 et Windows XP SP2
    Par Katleen Erna dans le forum Actualités
    Réponses: 72
    Dernier message: 23/12/2009, 16h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo