L’algorithme de chiffrement RC4 vit ses derniers temps, après qu’une majorité d’éditeurs ont annoncé son abandon. Dernier en date, Microsoft, qui a profité des dernières mises à jour pour le désactiver dans Edge et Internet Explorer 11.
RC4 (Rivest Cipher 4) est un algorithme de chiffrement qui n’est plus de première jeunesse. Conçu en 1987 au sein des laboratoires de la société RSA, il a été utilisé dans certains protocoles de sécurité, notamment WEP pour les réseaux Wi-Fi ou d’anciennes versions de SSL. Depuis, tout comme ces protocoles, il n’est plus considéré comme sûr, de nombreuses attaques ayant montré notamment que son générateur de chiffres aléatoires privilégiait certaines séquences d'octets.
Presque plus aucun navigateur ne gère RC4 désormais
L’année 2016 est bien partie pour sonner le glas du RC4. Firefox a été le premier à en être débarrassé dès janvier avec la version 44. Puis ce fut au tour de Chrome 49, avec là encore un retrait du support. Un changement qui a rejailli peu de temps après sur Opera, qui a même publié une dernière mise à jour pour l’ancienne branche 12.X du navigateur.
Cette vague de suppression faisait en fait écho à un message fort envoyé par l’IETF (Internet Engineering Task Force) en février 2015 : RC4 ne devait plus être considéré comme sûr. Il était demandé à l’ensemble des éditeurs, des sites et autres de s’en débarrasser au profit de la révision 1.2 de TLS. Dans un billet, Microsoft indique que l’algorithme n’est désormais plus présent dans Edge et Internet Explorer 11.
Pas de changement notable à prévoir
Son champ d’utilisation était déjà largement réduit, car il ne servait plus que de « fallback » depuis TLS 1.2, c’est-à-dire quand ce dernier ne pouvait pas être utilisé, pour une raison ou une autre. Sur une vieille architecture, la connexion pouvait retomber sur TLS 1.0 avec RC4. Selon l’éditeur, ce genre de cas rare provient habituellement d’une erreur « innocente », mais il est impossible côté utilisateur de distinguer cette bascule d’une attaque de type « homme du milieu ».
L’éditeur recommande le passage à TLS 1.2 depuis novembre 2013, via un bulletin de sécurité. Il estime actuellement que le nombre de connexions non sécurisées s’appuyant sur RC4 est très bas et continue de chuter. Microsoft ne s’attend pas à ce que les utilisateurs remarquent le changement, pas plus finalement que pour Chrome ou Firefox il y a quelques mois.
Commentaires (32)
#1
Le rc4 c’est so 1996 !
#2
Bon, aucun navigateurs récent ne proposent plus le RC4.
Maintenant, il faudrait que les serveurs le vire de leur infrastructure mais cela pose le problème des vieux navigateurs …
#3
Sur le coup j’ai lu : “Chiffrement : plus (+) de RC4 dans Edge et Internet Explorer 11”
Me faites plus de fausse joie comme ça, je pensais avoir un argument massue pour dire aux gens de ne jamais utiliser IE11/Edge
#4
#5
RC4 (Rivest Cipher 4) est un algorithme de chiffrement qui n’est plus de
première jeunesse. Conçu en 1987 au sein des laboratoires de la société
RSA
1987 ? Trop vieux ?
#6
#7
IE11 ça va encore, par exemple pour RC4 il suffisait de ne pas la choisir quand le client la listait dans ses cipher suites.
Y a 2 ans j’avais du developpé un site web compatible IE8, la on commence à s’amuser pour que la mise en page marche encore ^^
#8
Si tu fais de la sécu comme tu conjugues les verbes à la troisième personne du singulier, j’ai peur…
#9
C’est une obligation pour les anciens softs maison…
(a cause de l’absence/ non respect des standards)
IE6 a eu une trèèèèèès longue vie a près sa mort officielle.
#10
#11
#12
“et ils veulent qu’on soient compatible IE11”
on = 3eme personne du singulier
(et quand bien même, le “soient” aurait impliqué un s à compatible)
#13
#14
#15
Quand je vois que je n’ai que le choix d’un password à 6 chiffres pour protéger mon compte, et que mon identifiant est égal à mon numéro de compte, ça me fait bien marrer les mots “politique de mot de passe ” et “crédit agricole” ensemble 
" />
C’est une des raisons qui m’ont fait partir d’ailleurs…
#16
à titre perso, je pars du principe que le troll sur l’ortho/la conjugaison est débile et sans apport à la discussion (parce qu’en général même pas drôle)
" />
" />
Je répondais juste à ta question
#17
#18
#19
Sur une grande population d’utilisateurs, demander un mot de passe trop complexe (chiffres, minuscules, majuscules, caractères spéciaux, longueur de 12 caractères) risque de provoquer chez les plus béotien des mots de passe faible car trop semblable entre eux et pas assez aléatoire et ressemblant trop à des mots de passe déjà utilisés ailleurs.
Tu oublies aussi que souvent les banques limites le nombre d’essai possible.
Il faut parfois mieux une politique de mot de passe moins exigeante mais mieux suivie, la sécurité de l’ensemble de l’édifice sera meilleur.
Exemple: la CB demande un code à 4 chiffre avec 3 essais et personne ne dit que sa sécurité est pourrie.
#20
Je peux ? Je peux ?
" />
Vu que le “on” ici représente un pluriel, le verbe est bien au singulier mais “compatible” doit être au pluriel et donc prendre un “s” !
C’est tellement simple la langue française
#21
#22
Eh oui, il faut bien que les sites soient accessibles pour le personnel de la banque.
Beaucoup de banques viennent de passer sous Windows 7, il faut déjà que les applicatifs existants tournent avec. C’est loin d’être évident.
#23
Et oui, et je peux te dire que tout le monde fait l’erreur !
D’ailleurs, on le remarque tout de suite au féminin : “On est trop belles !” et pas “On est trop beau !”.
#24
Pour la CB la différence c’est qu’en plus d’avoir une authentification par un élément de connaissance (le code) tu as une identification par un élèment physique (la carte).
Je trouve justement que les politiques d’authentification des banques françaises sont desastreuses. Franchement à quoi ça sert d’imposer les mots de passes à 6 chiffres ? Ca rend l’authentification ultra faible et ne repose sur aucune justification technique (et ne parlons pas du pseudo clavier virtuel qui n’a jamais rien protégé). Dans d’autre pays la plupart des banques donnent des boitiers qui génères des codes uniques par exemple. En France les banques préfèrent faire des économies et ne pas changer leurs habitudes.
Mais je suis d’accord que demander un mot de passe trop complexe peut reduire son entropie. Mais il y a un milieu entre ce que demande les banques et des mdp de 12 caractère mini.
#25
#26
A quel moment (moment est singulier), j’ai utilisé (utiliser est un participe passé dans ce cas-ci).
Je ne voulais pas te prendre en grippe mais c’était trop tentant (désolé :rouge:)
#27
Tu sais la part de marché mondiale d’Internet Explorer ? Rien qu’en France c’est énorme, il faut donc que ça soit compatible avec tous les principaux navigateurs.
#28
Ce qui est amusant, c’est que le RFC qui interdis le RC4 à été écrit par Microsoft.
Dommage que Skype for Business nécessite toujours ce RC5
#29
#30
#31
#32
[quote::5716112:Z-os].[/quote]