Microsoft annonce un décalage de quelques mois de son calendrier d'abandon des vieux protocoles de sécurité TLS 1.0 et 1.1. Tenant compte de la situation sanitaire internationale, l'entreprise préfère reporter l'échéance.

Mozilla qui réactive un vieux protocole de sécurité et Microsoft qui décide d’en reporter le retrait. Voilà les conséquences surprenantes que provoque la catastrophe sanitaire du Covid-19 sur les plus vieilles versions de TLS. Le 31 mars, le géant des logiciels annonce en effet que son calendrier pour désactiver TLS 1.0 et 1.1 a dû être révisé « compte tenu de la situation mondiale actuelle ». En clair, compte tenu de la pandémie.

Derrière le sigle TLS, qui veut dire Transport Layer Security, se cache un protocole qui a pour tâche de sécuriser les connexions sur le net, par exemple entre le navigateur web de l’internaute et le site qu’il visite. TLS a connu quatre évolutions en l’espace de vingt ans : TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008) et TLS 1.3 (2018). Seules les deux dernières sont jugées assez sûres.

Microsoft Edge
TLS est un protocole de sécurité qui sert à protéger les communications en ligne, mais deux de ses plus anciennes versions ne sont plus assez sûres. Microsoft cherche donc à les mettre à l’écart dans son navigateur web, Edge.

Report au deuxième semestre

Initialement, cette désactivation par défaut devait survenir au cours du premier semestre 2020, puis du second semestre. Mais Microsoft a décidé de reporter cette échéance de quelques mois supplémentaires. Le 14 août, Microsoft a fait savoir qu’il n’entend pas faire quoi que ce soit avant le printemps 2021 — au plus tôt.

Concernant les autres navigateurs web de Microsoft encore pris en charge, c’est-à-dire la version d’Edge avec le moteur de rendu EdgeHTML et Internet Explorer 11, la neutralisation par défaut de TLS 1.0 et 1.1 est prévue pour le 8 septembre 2020. IE 11 est la version la plus récente et la dernière d’Internet Explorer. Les précédentes déclinaisons ne sont plus gérées par l’entreprise américaine.

Sont concernés Internet Explorer 11 et Edge

L’abandon des deux plus anciennes versions de TLS est une stratégie coordonnée décidée en 2018 par les principaux navigateurs web, à savoir Firefox (Mozilla), Chrome (Google), Safari (Apple) et Edge (Microsoft). L’horizon qu’ils s’étaient fixé alors était l’année 2020. Mais personne n’imaginait alors qu’une épidémie allait éclater au même moment et se répandre comme une trainée de poudre dans le monde entier.

Si Microsoft ne le dit pas, l’entreprise a dû tenir compte du fait que des sites de santé publique ou gouvernementaux utilisent encore TLS 1.0 et 1.1. C’est cet argument que Mozilla a brandi lors de son revirement : il ne faudrait pas retourner un message d’erreur à l’internaute cherchant des informations utiles sur le Covid-19, même si cela occasionne un risque de sécurité. Le rapport entres les bénéfices et les risques n’est pas le même.

(mise à jour avec la décision de Microsoft de repousser l’échéance à 2021)

Article publié initialement le 1 avril 2020

Partager sur les réseaux sociaux

La suite en vidéo