TLS 1.3, nouveau protocole de chiffrement des connexions HTTPS approuvé

Il y a quelques heures, l’IETF (Internet Engineering Task Force) a approuvé un nouveau protocole de chiffrement des connexions HTTPS qui est baptisé le TLS 1.3. S’il devrait considérablement améliorer les performances et la sécurité des connexions web, il fait déjà l’objet de quelques critiques.

Le protocole TLS 1.3 va améliorer la sécurité du web

Au terme de 4 ans de négociation et après pas moins de 28 ébauches, l’IETF a fini par donner son approbation au protocole de chiffrement TLS 1.3, enterrant par la même occasion différents anciens algorithmes de chiffrement et de hachage comme le RC4 ou le SHA-224.

Mais ce n’est pas là le seul apport de ce nouveau protocole. D’abord, il contribue à généraliser la technique de confidentialité persistante parfaite. En générant des clés de session éphémères, il prive un attaquant d’accéder aux sessions précédentes.

Ensuite, TLS 1.3 embarque une protection contre les attaques par rétrogradation. Ainsi, un pirate n’a plus la possibilité de déchiffrer une connexion en utilisant une version antérieure du protocole.

Enfin, grâce à un processus de négociation des clés considérablement simplifié, le temps de latence est réduit et les connexions web sont donc beaucoup plus rapides.

Un nouveau standard qui a déjà des opposants

Comme souvent quand il y a de la nouveauté, il existe des partisans mais aussi des opposants. Pour TLS 1.3, les premiers sont assurément plus nombreux mais plusieurs entreprises du secteur financier ont déjà fait part de leur mécontentement.

Il faut dire que s’il est évident que ce nouveau protocole améliore la sécurité des connexions web, il perturbe également, semble-t-il, certains équipements chargés de surveiller les flux internes.

Fort heureusement, les opposants ont encore quelques mois pour trouver une solution à leur problème puisque TLS 1.3 ne représente pour l’heure qu’un trafic extrêmement limité, soit de l’ordre de 1% du trafic total.

 

Laisser un commentaire