À l’image du passage progressif de la technologie Flash à HTML5, ou de la dépréciation de SHA-1, Google est proactif en matière de purge des anciens protocoles, surtout des protocoles qui sont obsolètes et potentiellement vulnérables pour ses produits. C’est ainsi que, l’automne dernier, Adam Langley avait annoncé la fin prochaine de la prise en charge des protocoles RC4 et SSLv3. L’ingénieur en sécurité de l’entreprise n’avait donné aucun calendrier à ce sujet à ce moment-là.
On en sait désormais plus. C’est à partir de la maintenance prévue le 16 juin 2016 que Google va commencer à retirer la prise en charge de SSLv3 et RC4 sur les serveurs de messagerie de l’entreprise. Cela va concerner les serveurs SMTP ainsi que les serveurs web de Gmail.
Si Google a pris la décision de ne plus prendre en charge RC4 et SSLv3, c’est parce que ces deux protocoles possèdent un historique entaché de plusieurs failles de sécurité. Il faut dire que RC4 est désormais âgé de 29 ans, donc commence à être vétuste, alors que des chercheurs ont démontré sa faiblesse l’été dernier. Au sujet de SSL v3, il suffit de rappeler les épisodes Poodle et Beast qui ont poussé les éditeurs de navigateurs de retirer ce protocole de leur logiciel. Un document de l’Internet Engineering Task Force (IETF) daté de juin dernier évoque carrément un protocole « pas suffisamment sécurisé » et interdit l’utilisation de SSL v3 dans toutes les nouvelles applications.
Concrètement, dès le mois de juin, les utilisateurs qui tenteront de se connecter aux serveurs SMTP de Google en utilisant du SSL v3 et du RC4 ne le pourront plus, y compris aux passerelles relais. C’est pour cette raison que la firme de Mountain View incite toutes les entreprises et personnes concernées de faire les changements nécessaires à temps pour ne pas avoir de souci le moment venu. Sur son blog, l’entreprise précise que « Après ce changement, les serveurs d’envoi de messages utilisant SSLv3 et RC4 ne seront plus en mesure d’échanger du courrier SMTP avec les serveurs de Google et certains utilisateurs qui emploient encore des clients de messagerie plus anciens ne seront plus en mesure d’envoyer du courrier ». C’est pour cette raison qu’elle exhorte tout le monde à passer à des solutions plus modernes utilisant notamment le protocole TLS.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.