L’algorithme de chiffrement RC4 vit ses derniers temps, après qu’une majorité d’éditeurs ont annoncé son abandon. Dernier en date, Microsoft, qui a profité des dernières mises à jour pour le désactiver dans Edge et Internet Explorer 11.
RC4 (Rivest Cipher 4) est un algorithme de chiffrement qui n’est plus de première jeunesse. Conçu en 1987 au sein des laboratoires de la société RSA, il a été utilisé dans certains protocoles de sécurité, notamment WEP pour les réseaux Wi-Fi ou d’anciennes versions de SSL. Depuis, tout comme ces protocoles, il n’est plus considéré comme sûr, de nombreuses attaques ayant montré notamment que son générateur de chiffres aléatoires privilégiait certaines séquences d'octets.
Presque plus aucun navigateur ne gère RC4 désormais
L’année 2016 est bien partie pour sonner le glas du RC4. Firefox a été le premier à en être débarrassé dès janvier avec la version 44. Puis ce fut au tour de Chrome 49, avec là encore un retrait du support. Un changement qui a rejailli peu de temps après sur Opera, qui a même publié une dernière mise à jour pour l’ancienne branche 12.X du navigateur.
Cette vague de suppression faisait en fait écho à un message fort envoyé par l’IETF (Internet Engineering Task Force) en février 2015 : RC4 ne devait plus être considéré comme sûr. Il était demandé à l’ensemble des éditeurs, des sites et autres de s’en débarrasser au profit de la révision 1.2 de TLS. Dans un billet, Microsoft indique que l’algorithme n’est désormais plus présent dans Edge et Internet Explorer 11.
Pas de changement notable à prévoir
Son champ d’utilisation était déjà largement réduit, car il ne servait plus que de « fallback » depuis TLS 1.2, c’est-à-dire quand ce dernier ne pouvait pas être utilisé, pour une raison ou une autre. Sur une vieille architecture, la connexion pouvait retomber sur TLS 1.0 avec RC4. Selon l’éditeur, ce genre de cas rare provient habituellement d’une erreur « innocente », mais il est impossible côté utilisateur de distinguer cette bascule d’une attaque de type « homme du milieu ».
L’éditeur recommande le passage à TLS 1.2 depuis novembre 2013, via un bulletin de sécurité. Il estime actuellement que le nombre de connexions non sécurisées s’appuyant sur RC4 est très bas et continue de chuter. Microsoft ne s’attend pas à ce que les utilisateurs remarquent le changement, pas plus finalement que pour Chrome ou Firefox il y a quelques mois.
