Google, Microsoft et Mozilla ont beau se faire une guerre sans merci dans le domaine des navigateurs web, il leur arrive aussi de temps en temps de trouver un terrain d'entente lorsqu'il en va de l'intérêt de tous. La preuve avec le vieil algorithme de chiffrement RC4 : en effet, ils ont tous annoncé le même jour leur intention de ne plus utiliser RC4 dans leur navigateur.
La raison de cette prise de position commune est simple : RC4 n'est plus un outil de sécurité suffisamment sûr. Mis au point en 1987, il n'est plus capable de résister aux attaques les plus récentes. "Les attaques actuelles ont montré que le RC4 peut être cassé en l'espace de quelques heures ou jours", explique Microsoft. Dans le cas de la NSA, le cassage du RC4 s'effectuerait même en temps réel.
Mais avant d'abandonner d'un coup d'un seul le RC4, une période de préparation s'impose : Google, Microsoft et Mozilla ne comptent pas sauter le pas avant le début de l'année prochaine (même si dans les faits, un abandon partiel a déjà lieu : Firefox, par exemple, s'efforce depuis la version 36 de ne plus accepter les chiffrements en RC4 chaque fois que possible).
En général, les principaux navigateurs utilisent RC4 qu'en dernier recours. Dans son cas, Microsoft explique les enjeux : "Edge et Internet Explorer 11 utilisent seulement le RC4 lors d'un repli de TLS 1.2 ou 1.1 vers TLS 1.0. Un retour à TLS 1.0 avec RC4 est le plus souvent le résultat d'une erreur innocente, mais elle ne peut pas être distinguée d'une attaque de type homme du milieu".
Dans les faits, l'utilisation du RC4 est pratiquement de l'histoire ancienne. "Le pourcentage des services en ligne vulnérables qui ne proposent sur le RC4 est réputé minuscule et en recul", relève Microsoft. Dès lors, la transition devrait se faire absolument sans difficulté pour la grande majorité des internautes. Et d'ici 2016, ce pourcentage devrait encore diminuer.
À ce propos, Microsoft invite ceux ayant la charge d'un service web utilisant encore RC4 de se préparer dès maintenant à le mettre à jour afin de basculer au plus vite sur la norme la plus récente du protocole TLS (v1.2). Dans le cas contraire, l'accès au site sera susceptible d'échouer. Même si l'échéance est dans quelques mois, il est recommandé de ne pas attendre la dernière minute pour agir.
( photo : CC BY Sébastien Launay )
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !