Infos

Les nouvelles suites de chiffrement garantiront la confidentialité persistante parfaite dans Windows

Microsoft a ajouté quatre suites de chiffrement à sa liste de priorité de sélection de chiffrements par défaut, ce qui va introduire la confidentialité persistante parfaite (Perfect Forward Secrecy, PFS) dans le système d’exploitation.

La mise à jour 3042058 est actuellement disponible dans le centre de mise à jour de Microsoft et permet aux utilisateurs de tester les chiffrements avant de les installer sur leurs systèmes informatiques. Les mises à jour sont disponibles pour les versions 32 et 64 bits de Windows 7, 8 et 8.1, ainsi que pour Windows Server 2008 R2, Windows Server 2012 et 2012 R2.

Microsoft explique que la « mise à jour ajoute les suites de chiffrement suivantes à la liste par défaut pour tous les systèmes d’exploitation indiqués et introduit des améliorations au niveau de la priorité de la sélection de suite de chiffrement. Il s’agit de:

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

L’introduction de la confidentialité persistante parfaite (PFS) dans Windows est un important pas en avant, surtout dans le contexte des appels de nombreux géants des technologies en faveur d’un chiffrement intégral après les révélations de Snowden sur la surveillance opérée par la NSA et le GCHQ. Dans le cadre de la PFS, de nouvelles clés privées sont définies pour chaque session, ce qui signifie que si une clé a été compromise, seule la session associée à cette clé sera menacée. Pour pouvoir attaquer chaque session, il faudra attaquer chaque clé séparément.

Craig Young, chercheur chez Tripwire, a déclaré : « La confidentialité persistante parfaite est très importante lorsque les individus malintentionnés, dotés de ressources inépuisables, parviennent à intercepter et décoder les clés de chiffrement. »

S’il est vrai que la majorité des experts applaudit l’adoption de PFS par Microsoft, la société est à la traîne. Ainsi, Google a introduit cette possibilité dans ses produits il y a plus de trois ans. D’autres comme Dropbox, Facebook, Twitter et Tumblr prennent PFS en charge depuis au moins un an. Il faut toutefois reconnaître que Microsoft avait intégré PFS à son service de messagerie en ligne Outlook.com l’année dernière.

La PFS a beau être un pas en avant, elle n’est pas idéale. Elle entraîne une réduction des performances, et Microsoft avertit les utilisateurs dans son communiqué, en raison des fortes sollicitations du processeur. L’éditeur invite les administrateurs de serveurs Windows à mesurer les pics d’utilisation des ressources provoqués par les connexions chiffrées à l’aide du protocole TLS/SSL du côté du serveur et du côté du client. Kenneth White, directeur d’Open Crypto Audit Project (OCAP) a signalé que l’utilisation par Microsoft de suites de chiffrement comme DHE au lieu d’ECDHE, par exemple, pourrait aggraver le problème de performances.

« Certes, c’est un pas dans la bonne direction, mais les choix sont un peu surprenants » a déclaré Kenneth White. « Tout d’abord, les suites PFS (DHE) sont éphémères mais elles n’utilisent pas de courbes elliptiques et figurent en réalité parmi les suites PFS les moins efficaces. Il est également bon de voir les modes authentifiés (AEAD au lieu de GCM). Donc, on est sur la bonne voie, mais ce serait bien à court terme de voir des suites ECC éphémères Diffie-Hellman ».

Kenneth White a indiqué que, dans certains cas, l’utilisation de DHE au lieu d’ECDHE signifie la différence entre des performances divisées par deux ou par huit.

Il poursuit en expliquant que si la charge sur le serveur augmente, le nombre maximum de connexions simultanées diminue. De même, les clients comme les navigateurs Internet et les clients API vont fortement charger le processeur en utilisant DHE ».

Les experts affirment que PFS doit être appliqué en tant que norme de chiffrement minimale, surtout dans les nouvelles applications. Il en va de même pour HSTS ou HTTP Strict Transport Security, un en-tête de stratégie de sécurité, qui indique aux navigateurs qu’ils doivent se connecter uniquement via HTTPS.

« La gestion du chiffrement basée sur la suppression d’anciens chiffres et, dans ce cas, l’ajout de nouveaux est un pas dans la bonne direction pour Microsoft » a déclaré John Rudolf, ingénieur de programmation en chef chez Core Security. « Connaître ses suites de chiffrement, c’est comme savoir ce qu’on mange : cela repose sur la confiance. Et il faut lire l’étiquette. »

Auteur: Michael Mimoso

Source: threatpost

Les nouvelles suites de chiffrement garantiront la confidentialité persistante parfaite dans Windows

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception