Mozilla qui réactive un vieux protocole de sécurité et Microsoft qui décide d’en reporter le retrait. Voilà les conséquences surprenantes que provoque la catastrophe sanitaire du Covid-19 sur les plus vieilles versions de TLS. Le 31 mars, le géant des logiciels annonce en effet que son calendrier pour désactiver TLS 1.0 et 1.1 a dû être révisé « compte tenu de la situation mondiale actuelle ». En clair, compte tenu de la pandémie.
Derrière le sigle TLS, qui veut dire Transport Layer Security, se cache un protocole qui a pour tâche de sécuriser les connexions sur le net, par exemple entre le navigateur web de l’internaute et le site qu’il visite. TLS a connu quatre évolutions en l’espace de vingt ans : TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008) et TLS 1.3 (2018). Seules les deux dernières sont jugées assez sûres.
Report au deuxième semestre
Initialement, cette désactivation par défaut devait survenir au cours du premier semestre 2020, puis du second semestre. Mais Microsoft a décidé de reporter cette échéance de quelques mois supplémentaires. Le 14 août, Microsoft a fait savoir qu’il n’entend pas faire quoi que ce soit avant le printemps 2021 — au plus tôt.
Concernant les autres navigateurs web de Microsoft encore pris en charge, c’est-à-dire la version d’Edge avec le moteur de rendu EdgeHTML et Internet Explorer 11, la neutralisation par défaut de TLS 1.0 et 1.1 est prévue pour le 8 septembre 2020. IE 11 est la version la plus récente et la dernière d’Internet Explorer. Les précédentes déclinaisons ne sont plus gérées par l’entreprise américaine.
Sont concernés Internet Explorer 11 et Edge
L’abandon des deux plus anciennes versions de TLS est une stratégie coordonnée décidée en 2018 par les principaux navigateurs web, à savoir Firefox (Mozilla), Chrome (Google), Safari (Apple) et Edge (Microsoft). L’horizon qu’ils s’étaient fixé alors était l’année 2020. Mais personne n’imaginait alors qu’une épidémie allait éclater au même moment et se répandre comme une trainée de poudre dans le monde entier.
Si Microsoft ne le dit pas, l’entreprise a dû tenir compte du fait que des sites de santé publique ou gouvernementaux utilisent encore TLS 1.0 et 1.1. C’est cet argument que Mozilla a brandi lors de son revirement : il ne faudrait pas retourner un message d’erreur à l’internaute cherchant des informations utiles sur le Covid-19, même si cela occasionne un risque de sécurité. Le rapport entres les bénéfices et les risques n’est pas le même.
(mise à jour avec la décision de Microsoft de repousser l’échéance à 2021)
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !