Les quatre principaux navigateurs web annoncent l'abandon prochain des plus vieilles versions d'un protocole de sécurité, considérées comme obsolètes.

S’ils sont traditionnellement rivaux, les navigateurs web savent parfois se coordonner au nom de la sécurité des internautes. Cette action commune a pu être observée en 2015, quand Google, Microsoft et Mozilla, qui éditent Chrome, Internet Explorer/Edge et Firefox, ont décidé d’abandonner l’algorithme de chiffrement RC4, jugé obsolète face aux progrès informatiques.

Cette synchronisation s’observe à nouveau aujourd’hui dans le cas du retrait annoncé de deux versions de TLS, les normes 1.0 et 1.1, qui ne sont plus considérées comme adéquates pour sécuriser une liaison sur Internet. Google, Microsoft et Mozilla, mais aussi Apple avec Safari, ont déclaré lundi 15 octobre que ces deux normes ne seront plus prises en charge en 2020, au cours du premier semestre.

Sigle de Transport Layer Security, TLS est un protocole qui sert à sécuriser les liaisons en ligne. Il est une évolution d’un précédent protocole, appelé SSL (Secure Socket Layer), et a connu plusieurs développements, matérialisés par les normes TLS 1.0, 1.1, 1.2 et 1.3, qui sont sortis respectivement en 1999, 2006, 2008 et 2018.

firefox-mozilla
Firefox. // Source : Mozilla

Cap sur TLS 1.2 et 1.3

La version la plus récente (1.3) est d’ores et déjà prise en compte sur Firefox et Chrome. Elle est en cours d’implémentation sur Edge, Safari et Opera.

Outre l’argument de la sécurité (selon Mozilla, « plusieurs aspects de la conception ne sont ni aussi solides ni aussi robustes que nous le souhaiterions étant donné la nature de l’Internet d’aujourd’hui. Plus important encore, TLS 1.0 ne supporte pas les algorithmes cryptographiques modernes »), toutes les parties font observer que l’usage de TLS 1.0 et 1.1 est pratiquement devenu insignifiant.

Pour les internautes, il n’y a rien de particulier à faire : il suffit de garder son navigateur à jour, en récupérant les mises à jour lorsqu’elles sont disponibles. L’effort est à faire du côté des webmasters, en optant pour TLS 1.2 ou supérieur. Mais parce que c’est une tâche qui ne se fait pas forcément un claquement de doigts, il a été décidé de faire cette annonce assez tôt pour leur laisser du temps.

Partager sur les réseaux sociaux