[INFO] [SÉCURITÉ] Google, Microsoft et Mozilla annoncent la fin du support de RC4 dans leurs navigateurs

Le CERT-XMCO vous propose cette semaine de suivre l’annonce par les éditeurs des principaux navigateurs Internet de l’arrêt du support de l’algorithme de chiffrement RC4 au sein du protocole TLS.

Bulletin CXA-2015-2877
Titre Google, Microsoft et Mozilla annoncent la fin du support de RC4 dans leurs navigateurs
Titre officiel Google, Microsoft, and Mozilla will drop RC4 encryption in Chrome, Edge, IE, and Firefox next year
Criticité Criticite Moyenne
Date 02 Septembre 2015
Plateforme Toutes
Description Google, Microsoft et Mozilla ont annoncé que leurs navigateurs ne supporteraient plus l’algorithme de chiffrement RC4 dans le protocole TLS.

RC4 est un algorithme de chiffrement apparu en 1987 qui s’est très largement répandu dans les navigateurs et les services en ligne pour chiffrer les données. Cependant, de multiples vulnérabilités ont été découvertes permettant de casser le chiffrement en quelques jours voire quelques heures. L’IETF (Internet Engineering Task Force) a d’ailleurs interdit son utilisation avec TLS (cf. CXA-2015-0649).

Les navigateurs Chrome, Firefox, Edge et Internet Explorer désactiveront les suites de chiffrement RC4 dans leur prochaine version, probablement en 2016. Les serveurs acceptant uniquement ces suites de chiffrement sont donc invités à les remplacer par des suites plus robustes telles que DHE-RSA-AES256-SHA256 ou ECDHE-RSA-AES256-GCM-SHA384.

Des recommandations pour la configuration TLS des serveurs sont disponibles sur le site de Mozilla : https://wiki.mozilla.org/Security/Server_Side_TLS
Référence http://venturebeat.com/2015/09/01/google-microsoft-and-mozilla-will-drop-rc4-support-in-chrome-edge-ie-and-firefox-next-year/
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-0649
Id XMCO CXA-2015-2877
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-2877

Adrien Guinault

Découvrir d'autres articles

En savoir plus En savoir plus