À cause du coronavirus, Microsoft doit conserver un protocole de sécurité trop vieux
Mozilla qui réactive un vieux protocole de sécurité et Microsoft qui décide d'en reporter le retrait.
Derrière le sigle TLS, qui veut dire Transport Layer Security, se cache un protocole qui a pour tâche de sécuriser les connexions sur le net, par exemple entre le navigateur web de l'internaute et le site qu'il visite. TLS a connu quatre évolutions en l'espace de vingt ans : TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008) et TLS 1.3 (2018). Seules les deux dernières sont jugées assez sûres.
Report au deuxième semestre
Initialement, cette désactivation par défaut devait survenir au cours du premier semestre 2020, puis du second semestre. Mais Microsoft a décidé de reporter cette échéance de quelques mois supplémentaires. Le 14 août, Microsoft a fait savoir qu'il n'entend pas faire quoi que ce soit avant le printemps 2021 -- au plus tôt.
Concernant les autres navigateurs web de Microsoft encore pris en charge, c'est-à-dire la version d'Edge avec le moteur de rendu EdgeHTML et Internet Explorer 11, la neutralisation par défaut de TLS 1.0 et 1.1 est prévue pour le 8 septembre 2020. IE 11 est la version la plus récente et la dernière d'Internet Explorer. Les précédentes déclinaisons ne sont plus gérées par l'entreprise américaine.
L'abandon des deux plus anciennes versions de TLS est une stratégie coordonnée décidée en 2018 par les principaux navigateurs web, à savoir Firefox (Mozilla), Chrome (Google), Safari (Apple) et Edge (Microsoft). L'horizon qu'ils s'étaient fixé alors était l'année 2020. Mais personne n'imaginait alors qu'une épidémie allait éclater au même moment et se répandre comme une trainée de poudre dans le monde entier.
Si Microsoft ne le dit pas, l'entreprise a dû tenir compte du fait que des sites de santé publique ou gouvernementaux utilisent encore TLS 1.0 et 1.1. C'est cet argument que Mozilla a brandi lors de son revirement : il ne faudrait pas retourner un message d'erreur à l'internaute cherchant des informations utiles sur le Covid-19, même si cela occasionne un risque de sécurité. Le rapport entres les bénéfices et les risques n'est pas le même.
(mise à jour avec la décision de Microsoft de repousser l'échéance à 2021)