Google Chrome, Microsoft Edge et Mozilla Firefox cesseront de prendre en charge le chiffrement RC4 d'ici 2016

Les principaux navigateurs s’associent pour annoncer la fin du support du chiffrement RC4 d’ici 2016

Dans le but de rendre la navigation sur Internet plus sûre pour les utilisateurs, Google, Microsoft et Mozilla ont convenu de cesser le support du chiffrement cryptographique RC4 dans les navigateurs des entreprises d’ici début 2016.

RC4, également connu sous le nom de Rivest Cipher 4 ou ARC4, est un chiffrement par flux utilisé pour la cryptographie dans les navigateurs Internet. Bien qu’il soit remarquablement simple et rapide, de multiples vulnérabilités ont été découvertes, le rendant le chiffrement le plus peu sûr. Il est particulièrement vulnérable lorsque le début du flux de clés de sortie n’est pas rejeté, ou lorsque des clés non aléatoires ou liées sont utilisées ; certaines manières d’utiliser RC4 peuvent conduire à des protocoles très peu sûrs tels que WEP.

Les géants des navigateurs ont décidé de cesser complètement d’utiliser le chiffrement RC4 à partir de 2016. “Pour Firefox, cela signifie la version 44, actuellement prévue pour le 26 janvier,” a noté Richard Barnes de Mozilla. “C’est-à-dire qu’à partir de Firefox 44, RC4 sera entièrement désactivé à moins qu’un utilisateur ne l’active explicitement via l’une des préférences.”

Google, quant à lui, proposera une mise à jour de Chrome en janvier ou février 2016. “Les mesures montrent que seulement 0,13 % des connexions HTTPS effectuées par les utilisateurs de Chrome (qui ont opté pour la collecte de statistiques) utilisent actuellement RC4. Même dans ce cas, les opérateurs de serveurs concernés peuvent très probablement simplement ajuster leur configuration pour activer un meilleur ensemble de chiffrement afin d’assurer le bon fonctionnement,” a souligné Adam Langley de Google.

“Les versions actuelles de Chrome ne font pas la publicité du support de RC4 sur une connexion HTTPS à moins que la première tentative de connexion échoue, donc les serveurs qui prennent déjà en charge un ensemble de chiffrement non RC4 ne verront aucun changement.”

Microsoft a fait l’annonce officielle hier. “Microsoft Edge et Internet Explorer 11 n’utilisent RC4 que lors d’un retour à TLS 1.2 ou 1.1 vers TLS 1.0. Un retour à TLS 1.0 avec RC4 est le plus souvent le résultat d’une erreur innocente, mais cela est indiscernable d’une attaque de type homme du milieu. Pour cette raison, RC4 sera entièrement désactivé par défaut pour tous les utilisateurs de Microsoft Edge et Internet Explorer sur Windows 7, Windows 8.1 et Windows 10 à partir de début 2016,” a expliqué Alec Oot, un responsable de programme chez Microsoft.

Microsoft avait prévu de déprécier l’algorithme SHA-1 en 2013. Internet Explorer n’offre pas d’ensembles de chiffrement basés sur RC4 lors de l’initialisation de la poignée de main TLS/SSL comme première option.