Mieux vaut tard que jamais, mais cela n’est pas sans conséquence. Microsoft a annoncé son intention d’interdire les versions 1.0 et 1.1 de TLS (Transport Layer Security) dans Windows. L’éditeur précise que cette décision peut avoir des répercussions sur les serveurs SQL basés sur ce protocole. On sait depuis longtemps que ces versions présentent des faiblesses de sécurité et elles ont été remplacées par deux mises à jour successives 1.2 et 1.3. « Ces dernières années, en raison de divers problèmes de sécurité, les organismes de réglementation et de normalisation de l'Internet ont supprimé les versions 1.0 et 1.1 de TLS », a expliqué Microsoft dans un billet de blog. « Cela fait plusieurs années que nous mesurons l’utilisation du protocole TLS et nous pensons que l’usage du TLS 1.0 et TLS 1.1 est suffisamment faible pour prendre cette mesure ». L'entreprise désactivera les versions par défaut dans ses systèmes d'exploitation Windows, à partir des versions Insider Preview de Windows 11 de septembre 2023.

Des failles de sécurité avérées

Depuis son lancement en 1999, le protocole TLS 1.0 présente plusieurs faiblesses de sécurité, notamment la vulnérabilité de l'attaque POODLE (Padding Oracle on Downgraded Legacy Encryption) relative au protocole SSL 3.0, des suites de chiffrement plus faibles, l'absence de confidentialité persistante (forward secrecy), des fonctions de hachage inadéquates et des authentifications limitées. Une version ultérieure (1.1), publiée en 2006, a apporté quelques améliorations de sécurité, mais n'a pas été adoptée à plus grande échelle.

Finalement, ces versions ont été remplacées par les versions TLS 1.2 (2008) et 1.3 (2018). Cependant, le retrait des anciennes versions n'a pas été facile pour tous les adoptants du fait de certaines contraintes, en particulier l'obligation de maintenir la compatibilité ascendante. En janvier 2021, la National Security Agency (NSA) a émis quelques conseils quant à la suppression des configurations TLS obsolètes, et de nombreux géants de la technologie, dont Apple, Google, Mozilla et (maintenant) Microsoft, ont annoncé leur intention d'abandonner les protocoles obsolètes.

Des répercussions sur plusieurs applications Microsoft

Comme l’a fait savoir Microsoft aux clients professionnels, plusieurs applications dont elle a fourni la liste risquent de ne plus fonctionner après désactivation des anciennes versions du TLS. En tête de ces applications menacées figure SQL Server. Des dysfonctionnements pourraient affecter les éditions 2012, 2014 et 2016 de SQL Server. Alors que les versions 2014 et 2016 sont toujours prises en charge, ce n’est plus le cas de l'édition 2012, mais celle-ci bénéficiera de mises à jour de sécurité étendues. Parmi les autres applications populaires inscrites sur la liste figurent MS Office 2008 Professional, Safari 5.1.7, EVault Data Protection-7.01.6125 et Xbox One SmartGlass - 2.2.1702.2004.

Microsoft a conseillé de mettre à jour les applications qui présentent des signes de défaillance après la désactivation des deux TLS. « La plupart des nouvelles versions de ces applications prennent en charge le protocole TLS 1.2 ou des versions plus récentes », a déclaré l’éditeur. « Par conséquent, si une application commence à mal fonctionner après ce changement, la première chose à faire est de rechercher une version plus récente de l'application qui prend en charge le TLS 1.2 ou TLS le 1.3 », a conseillé le fournisseur. Enfin, il reste possible de réactiver les versions 1.0 et 1.1 du protocole via un paramètre du registre système au cas où il n'y aurait pas d'autre solution pour rétablir le fonctionnement d’une application.