Microsoft, Google et Mozilla annoncent la fin du support du chiffrement RC4 dans leurs navigateurs
Microsoft, Google et Mozilla annoncent la fin du support du chiffrement RC4 dans leurs navigateurs
Dès le début de l’année prochaine
Microsoft, Google et Mozilla ont tous les trois annoncé la fin du support du chiffrement RC4 dans leurs navigateurs respectifs, à savoir Internet Explorer (IE), Microsoft Edge, Chrome et Firefox. Cette annonce est la réponse à un appel fait en février 2015 par l’Internet Engineering Task Force (IETF). L’IETF a en fait suggéré l’abandon du chiffrement RC4, alors qu’il s’est avéré susceptible d’exposer les plateformes à des risques de sécurité élevés.
Comme l’a mentionné Microsoft dans son annonce, le chiffrement RC4 a été largement supporté à travers les navigateurs web et les services en ligne, mais les attaques modernes ont montré qu’il peut être cassé en quelques jours voire en quelques heures. Le chiffrement RC4 sera donc désactivé par défaut dans IE 11 et Microsoft Edge – sur Windows 7, Windows 8, Windows 8.1 et Windows 10 - et ne sera plus utilisé lors des négociations TLS. Microsoft prévoit d’appliquer cette mesure au début de l’année prochaine.
Google prévoit également de désactiver RC4 dans une version à venir de Chrome aux alentours de janvier ou février 2016, et qu’à partir de ce moment, tous les serveurs HTTPS qui supportent seulement le chiffrement RC4 cesseront de fonctionner. Ils devraient donc planifier la prise en charge d’un chiffrement plus fort. Du côté de Mozilla, cette mesure sera effective dans la version Firefox 44 qui est annoncée pour le 26 janvier. La fin du support de RC4 signifie aussi que les navigateurs concernés ne vont plus se connecter aux serveurs qui exigent ce type de chiffrement.
L’algorithme de chiffrement RC4 a été créé en 1987 et fait partie de l’héritage d’une mesure du gouvernement US dans les années 90, interdisant l’expédition de produits logiciels qui utilisent des clés de chiffrement fort. Cette loi adoptée dans le cadre de la sécurité nationale a alors conduit à l’utilisation de clés de 512 bits maximum ; et même après son abolition, de nombreux navigateurs ont continué à utiliser ce type de chiffrement faible pour assurer la sécurité des données. Aujourd’hui, ce type de chiffrement est fortement remis en cause et est progressivement abandonné par les fournisseurs, alors qu'ils pourraient permettre à un attaquant de mener une attaque man-in-the-middle.
D’ailleurs, seulement une très petite portion de serveurs sera impactée par cette décision. Microsoft estime en effet que « le pourcentage de services web à risque qui supportent seulement RC4 est petit et en baisse ». Google estime à 0,13%, les utilisateurs de Chrome qui ont autorisé la collecte de statistiques, qui « rencontrent » des serveurs qui dépendent du chiffrement RC4. Du côté de Mozilla, ce pourcentage est évalué à seulement 0,08% d’utilisateurs de versions Release de Firefox et 0,05% d’utilisateurs de versions du navigateur.
Sources : Microsoft, Annonce de Google, Annonce de Mozilla
Et vous ?
:fleche: Qu’en pensez-vous ?
Microsoft abandonne le support de l'algorithme de chiffrement RC4 sur IE 11 et Microsoft Edge
Microsoft abandonne le support de l'algorithme de chiffrement RC4 sur IE 11 et Microsoft Edge,
les webmasters qui l'utilisent sont invités à effectuer des modifications
En novembre 2013, Microsoft a lancé un appel à l’abandon définitif de l’algorithme de chiffrement RC4. Pour donner le ton, l’entreprise a décidé d’utiliser par défaut TLS v1.2 combiné à l’algorithme de chiffrement AES-GCM sur Internet Explorer 11. L’entreprise a également mis en ligne une mise à jour (KB 2868725) qui permet aux systèmes d’exploitation antérieurs à Windows 8.1 (Windows 8, Windows 7, Windows RT, Server 2008 R2, et Server 2012) de ne plus utiliser l’algorithme. Toutefois, une action manuelle de l’utilisateur était requise, puisqu’il devait se rendre dans le registre de Windows pour apporter certaines modifications pour voir désactiver définitivement l’utilisation de RC4.
En septembre de l’année dernière, Microsoft, Google et Mozilla ont annoncé leur intention de mettre fin au support du chiffrement RC4 dans leurs navigateurs respectifs, à savoir Internet Explorer (IE), Microsoft Edge, Chrome et Firefox. Une annonce qui a été faite suite à une suggestion de l’Internet Engineering Task Force (IETF) : en février 2015, l’organisme avait proposé l’abandon de ce chiffrement compte tenu du fait qu’il était susceptible d’exposer les plateformes à des risques de sécurité élevés.
Aussi, conformément à leur annonce, l’équipe Microsoft Edge a annoncé que la mise à jour cumulative qu’est le KB3151631 va désactiver la prise en charge du chiffrement RC4 dans Microsoft Edge (Windows 10) et Internet Explorer 11 (à partir de Windows 7).
Pour s’expliquer, les ingénieurs rappellent que « le RC4 est un algorithme de chiffrement à flot qui a été décrit pour la première en 1987 et a été largement pris en charge par les navigateurs Web ainsi que des services en ligne. Les attaques modernes ont démontré qu’il est possible de venir à bout de ce chiffrement en quelques heures ou quelques jours (...). En février 2015, ces nouvelles attaques ont incité l’Internet Engineering Task Force à interdire l'utilisation du RC4 avec TLS ».
Aussi, si Microsoft Edge et Internet Explorer 11 autorisaient un chiffrement RC4, ce dernier sera désormais entièrement désactivé par défaut pour les utilisateurs Microsoft Edge et Internet Explorer sur Windows 7, Windows 8 et Windows 8.1.
Microsoft pense que la plupart des utilisateurs ne vont pas percevoir le changement, étant donné que le pourcentage de services web qui font encore usage de cet algorithme est relativement faible. En 2013, d’après une étude réalisée sur 5000 sites web, plus de la moitié (57,45 %) n’utilisaient plus RC4. De plus, parmi le reste, seuls 3,90 % exigeaient l’emploi du RC4.
Toutefois, les ingénieurs conseillent aux développeurs dont les services web exigent encore l’emploi du RC4 d’effectuer des modifications. Microsoft avait déjà fourni une liste de recommandations en 2013 sur la désactivation de l’algorithme RC4.
:fleche: Recommandations sur la désactivation de l'algorithme RC4
Source : blog Windows
Voir aussi :
:fleche: Microsoft lance un appel à l'abandon définitif de l'algorithme RC4 au profit de standards plus robustes