Face aux insuffisances de l'algorithme de chiffrement RC4, Google, Microsoft et Mozilla annoncent que leur navigateur ne le supportera bientôt plus. L'abandon du RC4 est prévu pour le début de l'année 2016.

Google, Microsoft et Mozilla ont beau se faire une guerre sans merci dans le domaine des navigateurs web, il leur arrive aussi de temps en temps de trouver un terrain d'entente lorsqu'il en va de l'intérêt de tous. La preuve avec le vieil algorithme de chiffrement RC4 : en effet, ils ont tous annoncé le même jour leur intention de ne plus utiliser RC4 dans leur navigateur.

La raison de cette prise de position commune est simple : RC4 n'est plus un outil de sécurité suffisamment sûr. Mis au point en 1987, il n'est plus capable de résister aux attaques les plus récentes. "Les attaques actuelles ont montré que le RC4 peut être cassé en l'espace de quelques heures ou jours", explique Microsoft. Dans le cas de la NSA, le cassage du RC4 s'effectuerait même en temps réel.

Mais avant d'abandonner d'un coup d'un seul le RC4, une période de préparation s'impose : Google, Microsoft et Mozilla ne comptent pas sauter le pas avant le début de l'année prochaine (même si dans les faits, un abandon partiel a déjà lieu : Firefox, par exemple, s'efforce depuis la version 36 de ne plus accepter les chiffrements en RC4 chaque fois que possible).

En général, les principaux navigateurs utilisent RC4 qu'en dernier recours. Dans son cas, Microsoft explique les enjeux : "Edge et Internet Explorer 11 utilisent seulement le RC4 lors d'un repli de TLS 1.2 ou 1.1 vers TLS 1.0. Un retour à TLS 1.0 avec RC4 est le plus souvent le résultat d'une erreur innocente, mais elle ne peut pas être distinguée d'une attaque de type homme du milieu".

Dans les faits, l'utilisation du RC4 est pratiquement de l'histoire ancienne. "Le pourcentage des services en ligne vulnérables qui ne proposent sur le RC4 est réputé minuscule et en recul", relève Microsoft. Dès lors, la transition devrait se faire absolument sans difficulté pour la grande majorité des internautes. Et d'ici 2016, ce pourcentage devrait encore diminuer.

À ce propos, Microsoft invite ceux ayant la charge d'un service web utilisant encore RC4 de se préparer dès maintenant à le mettre à jour afin de basculer au plus vite sur la norme la plus récente du protocole TLS (v1.2). Dans le cas contraire, l'accès au site sera susceptible d'échouer. Même si l'échéance est dans quelques mois, il est recommandé de ne pas attendre la dernière minute pour agir.

( photo : CC BY Sébastien Launay )

Partager sur les réseaux sociaux

Articles liés