Les navigateurs bloquent l’accès aux sites HTTPS utilisant les protocoles TLS 1.0 et 1.1

by admin
Les navigateurs bloquent l'accès aux sites HTTPS utilisant les protocoles TLS 1.0 et 1.1

Plus de 850 000 sites web utilisent encore les anciens protocoles TLS 1.0 et 1.1, qui devraient être supprimés de la plupart des principaux navigateurs dans le courant du mois. Il s’agit notamment de sites web de grandes banques, de gouvernements, d’organismes de presse, de télécommunications, de magasins de commerce électronique et de communautés Internet, selon un rapport publié aujourd’hui par la société technologique britannique Netcraft.

Les 850 000 sites web utilisent tous le HTTPS, mais sur une version peu sécurisée. Ils prennent en charge des connexions HTTPS via des certificats cryptographiques basés sur les protocoles TLS 1.0 et TLS 1.1. Il s’agit de protocoles anciens, publiés respectivement en 1996 et 2006. Ces protocoles utilisent des algorithmes cryptographiques faibles et sont vulnérables à une série d’attaques cryptographiques qui ont été divulguées au cours des deux dernières décennies, telles que BEAST, LUCKY 13, SWEET 32, CRIME et POODLE. Ces attaques permettent aux attaquants de décrypter le HTTPS et d’accéder au données de trafic web d’un utilisateur en clair.

De nouvelles versions de ces protocoles ont été publiées en 2008 (TLS 1.2) et en 2017 (TLS 1.3), toutes deux considérées comme supérieures et plus sûres à utiliser que TLS 1.0 et TLS 1.1.

publicité

Le retrait des protocoles TLS 1.0 et TLS 1.1 a été annoncé il y a deux ans

Après la sortie du protocole TLS 1.3 au printemps 2018, les quatre principaux développeurs de navigateurs – Apple, Google, Mozilla et Microsoft – se sont réunis et ont annoncé conjointement en octobre 2018 leur intention de ne plus prendre en charge les TLS 1.0 et TLS 1.1 début 2020.

La première étape de ce plan de retrait a débuté l’an dernier, lorsque les navigateurs ont commencé à indiquer “Non sécurisé” sur les sites utilisant les protocoles TLS 1.0 et TLS 1.1 dans la barre d’adresse URL et l’icône du cadenas, laissant entendre aux utilisateurs que la connexion HTTPS n’était pas aussi sécurisée qu’ils pouvaient l’imaginer.

La suppression du support est imminente

Dans le courant du mois, les navigateurs passeront d’un simple avertissement discret à l’affichage d’une erreur en pleine page lorsqu’un utilisateur se rendra sur un site utilisant ces protocoles datés.

 

Ces erreurs en pleine page apparaîtront avec Chrome 81 et Firefox 74, qui seront tous deux disponibles plus tard dans le mois. Safari devrait suivre le mouvement ce mois-ci également, conformément à l’annonce initiale. Microsoft fera de même à la fin du mois d’avril, avec la sortie de Edge 82 (basé sur Chromium).

D’après les scans de Netcraft, 850 000 sites sont concernés, dont plus de 5 000 figurent au classement “Alexa Top 1 Million sites”. « Ne plus prendre en charge ces anciens protocoles côté client est le moyen le plus efficace de s’assurer que les vulnérabilités qui leur sont associées ne présentent plus aucun risque », explique les chercheurs de Netcraft.
Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading