Google, Mozilla et Microsoft abandonneront RC4 au début 2016

Google, Microsoft et Mozilla ont annoncé la date de la fin de la prise en charge de l’algorithme de chiffrement RCA.

Cet algorithme avait commencé à perdre la confiance des utilisateurs suite à l’augmentation du nombre de cyberattaques dont il était victime et les principaux éditeurs de navigateurs Internet ont décidé de l’abandonner complètement à la fin du mois de janvier ou au début du mois de février.

D’après Richard Barnes, de chez Mozilla, Firefox ne prendra plus en charge RC4 à partir de la version 44 dont la sortie est prévue pour le 26 janvier. « La désactivation de RC4 signifie que Firefox ne pourra plus se connecter aux serveurs qui exigent l’utilisation de RC4 » a expliqué le représentant de la société dans un forum destiné aux développeurs. « Les données dont nous disposons indiquent que le nombre de tels serveurs est réduit, mais ils existent, même si les utilisateurs de Firefox les consultent rarement ».

Adam Langley, de chez Google, a déclaré que la version correspondante de Chrome sera diffusée en janvier ou en mars. En guise de détails, il a simplement déclaré que les serveurs HTTPS qui utilisent exclusivement RC4 seront désactivés. « Lorsque Chrome ouvre une connexion HTTPS, il doit tout entreprendre pour garantir sa sécurité. A l’heure actuelle, l’utilisation de RC4 dans les connexions HTTPS ne remplit pas cette condition et pour cette raison, nous avons l’intention de supprimer la prise en charge de RC4 dans une des prochaines versions de Chrome » explique Adam Langley dans une note spéciale envoyée à security@chromium.org.

Actuellement, les versions stables de Firefox, ainsi que les versions bêta, sont compatibles avec RC4 sans aucune restriction, mais dans la réalité, elles ne l’utilisent que dans 0,08 et 0,05 % des connexions respectivement. Pour Chrome, cet indice est légèrement supérieur et atteint 0,13 %. « Pour pouvoir poursuivre leurs activités, les exploitants de ces serveurs devront seulement modifier légèrement la configuration afin d’adopter une sélection de chiffres plus fiables » a déclaré Adam Langley.

Microsoft a annoncé la fin de la prise en charge de cet algorithme dépassé dans les produits Microsoft Edge et IE 11; la prise en charge sera désactivée par défaut au début de l’année prochaine. «Microsoft Edge et Internet Explorer 11 utilisent RC4 uniquement lorsque le protocole TLS 1.2 ou 1.1 doit être substitué par TLS 1.0. Le passage à TLS 1.0 qui utilise RC4 se produit le plus souvent par erreur, mais cette situation, même si elle semble anodine, n’est pas différente d’une attaque par ‘homme du milieu’. Pour cette raison, au début 2016, RC4 sera désactivé par défaut pour tous les utilisateurs de Microsoft Edge et Internet Explorer sous Windows 7, Windows 8?1 et Windows 10″  » a expliqué David Walp, le responsable principal du projet Microsoft Edge.

Cela fait plus de dix ans déjà que les chercheurs débattent des imperfections de RC4 en citant la possibilité de sélectionner des valeurs aléatoires utilisées pour créer des textes chiffrés selon cet algorithme. Pour un attaquant qui disposerait du temps, de la puissance de calcul et de l’accès à un certain nombre de requêtes TLS pourrait procéder au déchiffrement sans aucune difficulté.

En 2013, une étude réalisée par Daniel J. Bernstein de l’université de l’Etat d’Illinois lui avait permis de créer une attaque pratique contre une vulnérabilité connue de RC4 dans le but de compromettre une session TLS. Ce fut un des premiers cas divulgués.

En juillet, des chercheurs belges ont publié de nouveaux modes d’attaque contre RC4 qui permettaient d’intercepter les cookies de la victime et de les déchiffrer bien plus vite qu’on ne le croyait.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *