Le CERT-XMCO vous propose cette semaine de suivre l’annonce par les éditeurs des principaux navigateurs Internet de l’arrêt du support de l’algorithme de chiffrement RC4 au sein du protocole TLS.
Titre | Google, Microsoft et Mozilla annoncent la fin du support de RC4 dans leurs navigateurs |
Titre officiel | Google, Microsoft, and Mozilla will drop RC4 encryption in Chrome, Edge, IE, and Firefox next year |
Criticité | Moyenne |
Date | 02 Septembre 2015 |
Plateforme | Toutes |
Description | Google, Microsoft et Mozilla ont annoncé que leurs navigateurs ne supporteraient plus l’algorithme de chiffrement RC4 dans le protocole TLS.
RC4 est un algorithme de chiffrement apparu en 1987 qui s’est très largement répandu dans les navigateurs et les services en ligne pour chiffrer les données. Cependant, de multiples vulnérabilités ont été découvertes permettant de casser le chiffrement en quelques jours voire quelques heures. L’IETF (Internet Engineering Task Force) a d’ailleurs interdit son utilisation avec TLS (cf. CXA-2015-0649). Les navigateurs Chrome, Firefox, Edge et Internet Explorer désactiveront les suites de chiffrement RC4 dans leur prochaine version, probablement en 2016. Les serveurs acceptant uniquement ces suites de chiffrement sont donc invités à les remplacer par des suites plus robustes telles que DHE-RSA-AES256-SHA256 ou ECDHE-RSA-AES256-GCM-SHA384. Des recommandations pour la configuration TLS des serveurs sont disponibles sur le site de Mozilla : https://wiki.mozilla.org/Security/Server_Side_TLS |
Référence | http://venturebeat.com/2015/09/01/google-microsoft-and-mozilla-will-drop-rc4-support-in-chrome-edge-ie-and-firefox-next-year/ https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-0649 |
Id XMCO | CXA-2015-2877 |
Lien extranet XMCO | https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-2877 |