Microsoft annonce un décalage de quelques mois de son calendrier d'abandon des vieux protocoles de sécurité TLS 1.0 et 1.1. Tenant compte de la situation sanitaire internationale, l'entreprise préfère reporter l'échéance au second semestre 2020.

Mozilla qui réactive un vieux protocole de sécurité et Microsoft qui décide d’en reporter le retrait. Voilà les conséquences surprenantes que provoque la catastrophe sanitaire du Covid-19 sur les plus vieilles versions de TLS. Le 31 mars, le géant des logiciels annonce en effet que son calendrier pour désactiver TLS 1.0 et 1.1 a dû être révisé « compte tenu de la situation mondiale actuelle ». En clair, compte tenu de la pandémie.

Derrière le sigle TLS, qui veut dire Transport Layer Security, se cache un protocole qui a pour tâche de sécuriser les connexions sur le net, par exemple entre le navigateur web de l’internaute et le site qu’il visite. TLS a connu quatre évolutions en l’espace de vingt ans : TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008) et TLS 1.3 (2018). Seules les deux dernières sont jugées assez sûres.

Microsoft Edge
TLS est un protocole de sécurité qui sert à protéger les communications en ligne, mais deux de ses plus anciennes versions ne sont plus assez sûres. Microsoft cherche donc à les mettre à l’écart dans son navigateur web, Edge.

Report au deuxième semestre

Initialement, cette désactivation par défaut devait survenir au cours du premier semestre 2020. Mais Microsoft a décidé de reporter cette échéance de quelques mois. Concernant son plus récent navigateur web, à savoir Edge (qui est basé sur Chromium), la bascule aura lieu avec la version 84 du logiciel. Celle-ci est pour le moment planifiée pour juillet 2020, soit le deuxième semestre.

Concernant les autres navigateurs web de Microsoft encore pris en charge, c’est-à-dire la version d’Edge avec le moteur de rendu EdgeHTML et Internet Explorer 11, la neutralisation par défaut de TLS 1.0 et 1.1 est prévue pour le 8 septembre 2020. IE 11 est la version la plus récente et la dernière d’Internet Explorer. Les précédentes déclinaisons ne sont plus gérées par l’entreprise américaine.

Sont concernés Internet Explorer 11 et Edge

L’abandon des deux plus anciennes versions de TLS est une stratégie coordonnée décidée en 2018 par les principaux navigateurs web, à savoir Firefox (Mozilla), Chrome (Google), Safari (Apple) et Edge (Microsoft). L’horizon qu’ils s’étaient fixé alors était l’année 2020. Mais personne n’imaginait alors qu’une épidémie allait éclater au même moment et se répandre comme une trainée de poudre dans le monde entier.

Si Microsoft ne le dit pas, l’entreprise a dû tenir compte du fait que des sites de santé publique ou gouvernementaux utilisent encore TLS 1.0 et 1.1. C’est cet argument que Mozilla a brandi lors de son revirement : il ne faudrait pas retourner un message d’erreur à l’internaute cherchant des informations utiles sur le Covid-19, même si cela occasionne un risque de sécurité. Le rapport entres les bénéfices et les risques n’est pas le même.

Partager sur les réseaux sociaux