Les éditeurs de navigateurs se sont mis d’accord pour retirer, d’ici deux ans, les versions obsolètes du protocole de chiffrement TLS, qui permet d’assurer la confidentialité des échanges sur la Toile. Actuellement, quatre moutures sont utilisées dans les piles protocolaires des navigateurs : TLS 1.0, 1.1, 1.2 et 1.3. Les deux premières datent respectivement de 1999 et 2006. Elles utilisent des fonctions de calcul d’empreinte désuètes et vulnérables comme MD5 et SHA1. Contrairement aux versions 1.2 et 1.3, elles n’intègrent pas de fonctions avancées comme le chiffrement authentifié ou la confidentialité persistante (« perfect foward secrecy »). De plus, par le passé, elles ont été des nids à failles de sécurité, comme le prouvent les attaques Poodle, Freak, Logjam, etc.
Bref, il est grand temps de se séparer de ces vieilles technologies. Dans Firefox et Safari, elles seront supprimées à compter de mars 2020. Dans Edge, elles le seront avant la fin du premier semestre 2020. Les versions beta de Chrome n’utiliseront plus TLS 1.0/1.1 à partir de janvier 2020. Pour l’utilisateur final, cette mise à la retraite devrait être totalement transparente. La très grande majorité des sites web ont déjà mis en œuvre les dernières versions de TLS. L’arrêt des versions obsolètes ne changera donc rien. En pratique, les connexions TLS 1.0 et 1.1 représentent moins de 1 % de la totalité des connexions web réalisées, expliquent les éditeurs.
De son côté, l’organisme de standardisation IETF devrait d’ailleurs officialiser l’obsolescence de ces deux protocoles dans les prochains mois. Un document de travail en ce sens a été mis en ligne en septembre dernier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
