Il y a du nouveau concernant la cybersécurité ! L’IETF (Internet Engineering Task Force), l’organisme qui élabore et fait la promotion des standards internet, va prochainement annoncer la fin d’ici 2020 de deux protocoles de chiffrement : TLS 1.0 et TLS 1.1.
En parallèle, les principaux navigateurs web (Chrome, Edge, Safari, Firefox…) ne les prendront tout simplement plus en charge.
Voici ce qu’il faut retenir :
A quoi sert un TLS (Transport Layer Security) ?
Il s’agit d’un protocole censé garantir la confidentialité et la sécurité des données entre deux applications en communication. Concrètement, cela signifie qu’il utilise le chiffrement afin de crypter les données.
Pourquoi abandonner TLS 1.0 et TLS 1.1 ?
Il y a eu plusieurs versions des protocoles TLS. TLS 1.0 et TLS 1.1 sont particulièrement vieilles : la première a déjà 19 ans et la seconde 12 ans. Autant dire qu’elles appartiennent à l’âge de pierre de la sécurité informatique !
Totalement dépassées, elles ne protègent plus du tout les informations personnelles, surtout face à des attaques toujours plus complexes et sophistiquées.
Alors, même si elles ne représentent plus qu’1% des échanges de données en ligne, il est grand temps de s’en débarrasser !
Concrètement, qu’est-ce que cela va changer ?
Les utilisateurs d’Internet ne vont pas remarquer directement ce changement, dans la mesure où il concerne des opérations techniques qui vont être réalisées en interne par les navigateurs web.
Les seules versions qui seront maintenues d’ici 2020 seront TLS 1.2 et la toute récente TLS 1.3, des technologies plus fiables qu’auparavant.
Mais attention à ne pas croire qu’elles sont 100% sécurisées ! Si elles disposent de fonctions plus avancées pour une meilleure protection des informations personnelles, ce n’est pas la panacée non plus.
Il faut par exemple savoir que la version TLS 1.3 a été affectée récemment par une attaque ayant compromis la sécurité des données (source). De plus, il ne faut pas se tromper : le contenu des emails ne fait l’objet d’aucun chiffrement. Ils sont donc parfaitement lisibles par n’importe qui s’ils sont interceptés par un tiers entre le moment de l’envoi et celui de la réception du message, ou si le serveur qui les stocke est piraté.
Le mois dernier, un fichier de données volées a été découvert sur le web : il contenait 772 millions d’adresses e-mail et plus de 21 millions de mot de passe ! Collection 1 (c’est son petit nom) représente à lui seul le fruit de 20 ans de piratage (source). Mais combien d’entrepreneurs ou de particuliers sont au courant que leurs données ont été volées ? La plupart ne le découvrent qu’à l’occasion d’une tentative d’arnaque ou du piratage d’un autre de leurs comptes en ligne (de nombreuses personnes utilisent le même mot de passe pour plusieurs sites/messageries). Les conséquences financières peuvent donc être très lourdes…
Comment garantir la sécurité des données sensibles ?
Il n’y a pas de secret : pour avoir l’esprit tranquille, il faut utiliser un logiciel de cryptage et passer au chiffrement.
En 2019 et dans les années à venir, le chiffrement va d’ailleurs être au cœur de tous les débats. En janvier dernier, à l’occasion du Forum International de la Cybersécurité, l’Inria (Institut national de recherches en sciences du numérique) a ainsi mis en lumière un paradoxe (source) :
- d’un côté, le volume d’informations personnelles traitées, collectées et monétisées connait une hausse exponentielle,
- de l’autre, il y a un manque de transparence total. Pour l’institut, les services et les appareils se comportent comme de véritables « boîtes noires », et les utilisateurs manquent considérablement de contrôle sur leur données.
Les solutions de cryptage globales, qui apportent une réelle plus-value en matière de sécurité informatique, sont la seule parade pour utiliser, communiquer et stocker des données sans prendre de risques.
L’avis de Laurent Brault de MDK Solutions
La suppression du maillon faible du chiffrement » TLS 1.0″ et « TLS 1.1 » constitue une amélioration de la sécurité des données. Il faut toutefois pondérer cette bonne nouvelle par la faible volumétrie de données concernées par ces versions…
La véritable avancée de cette évolution est surtout de mettre en avant la nécessité de procéder à un chiffrement de « bout en bout ». Les entreprises doivent vraiment prendre conscience des enjeux et des risques, afin que le recours au cryptage devienne un réflexe salvateur.
MDK Solutions propose des solutions qui permettent de chiffrer les données, même en situation nomade, à tous les niveaux : sauvegardes automatiques, gestion d’email, données sur l’ordinateur ou sur support de stockage connecté. Ces solutions simples et sécurisés permettent à tous d’avoir un système de chiffrement professionnel.