La désactivation de TLS (Transport Layer Security) peut sembler nécessaire dans certains contextes, notamment lors de la résolution de problèmes de compatibilité ou d’anciens systèmes. Cette opération nécessite une approche rigoureuse pour minimiser les risques de sécurité. Effectivement, TLS est essentiel pour chiffrer les communications entre serveurs et clients, garantissant ainsi la confidentialité et l’intégrité des données échangées.
Pour désactiver TLS en toute sécurité, vous devez suivre une série de recommandations précises. D’abord, évaluer les implications et identifier les alternatives possibles. Procédez par étapes en testant chaque modification dans un environnement contrôlé avant de l’appliquer en production.
A voir aussi : Sésame ICP : un atout indispensable pour la cybersécurité des infrastructures
Plan de l'article
Pourquoi désactiver TLS et quels sont les risques ?
La désactivation de TLS, notamment les versions TLS 1.0 et TLS 1.1, peut être motivée par plusieurs raisons. Ces versions sont considérées comme obsolètes et non sécurisées. Elles présentent des vulnérabilités critiques telles que BEAST pour TLS 1.0 et POODLE pour SSL 3.0, ainsi que DROWN pour SSL. La norme PCI DSS exige d’ailleurs la désactivation de TLS 1.0 et 1.1 pour garantir la sécurité des données.
Les risques liés à la désactivation
Toutefois, désactiver TLS sans prendre les précautions nécessaires peut exposer les systèmes à des risques accrus. Les versions recommandées, TLS 1.2 et TLS 1.3, doivent être activées pour maintenir un niveau de sécurité adéquat. La suppression de TLS 1.0 et 1.1 a été retardée par certains événements, tels que la pandémie de COVID-19, compliquant encore la transition.
A lire également : Principe 3 de la loi sur la protection des données 2018 : explication et détails essentiels
- TLS 1.0 : Version obsolète et non sécurisée.
- TLS 1.1 : Version obsolète et non sécurisée.
- TLS 1.2 : Version recommandée.
- TLS 1.3 : Version recommandée.
Vulnérabilités et normes
La vulnérabilité BEAST affecte directement TLS 1.0, tandis que POODLE et DROWN ciblent SSL. Ces failles rendent ces protocoles particulièrement vulnérables aux attaques. La norme PCI DSS impose de désactiver les versions de TLS jugées non sécurisées pour préserver l’intégrité des données échangées.
Trouvez des alternatives et passez aux versions plus sûres. Ajoutez des couches de sécurité supplémentaires et assurez-vous que vos systèmes sont à jour pour éviter les risques liés aux protocoles obsolètes.
Internet Explorer
Internet Explorer, connu pour sa compatibilité étendue, ne supporte pas TLS 1.3. Pour désactiver TLS 1.0 et 1.1 :
- Ouvrez Internet Explorer.
- Accédez à Options Internet.
- Allez à l’onglet Avancé.
- Dans la section Sécurité, décochez TLS 1.0 et TLS 1.1.
- Cliquez sur Appliquer puis OK.
Google Chrome
Google Chrome désactive automatiquement TLS 1.0 et 1.1 dans ses versions récentes. Pour vérifier :
- Ouvrez Google Chrome.
- Dans la barre d’adresse, tapez chrome://flags.
- Recherchez TLS et assurez-vous que TLS 1.3 est activé.
Mozilla Firefox
Mozilla Firefox, à l’instar de Google Chrome, supporte les versions sécurisées TLS 1.2 et TLS 1.3. Pour désactiver les versions obsolètes :
- Ouvrez Firefox.
- Dans la barre d’adresse, tapez about:config et appuyez sur Entrée.
- Acceptez l’avertissement de sécurité.
- Recherchez security.tls.version.min et définissez la valeur à 3 (correspondant à TLS 1.2).
Ces étapes garantissent que les navigateurs utilisent des versions sécurisées de TLS, minimisant les risques de vulnérabilités. Assurez-vous que vos navigateurs et systèmes sont régulièrement mis à jour pour bénéficier des dernières sécurités.
Comment désactiver TLS sur les systèmes d’exploitation
Windows
Pour désactiver TLS sur Windows, utilisez les stratégies de groupe (GPO) ou le registre Windows. Voici la procédure via le registre Windows :
- Ouvrez l’éditeur de registre (regedit).
- Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
- Créez les clés pour TLS 1.0 et TLS 1.1 si elles n’existent pas.
- Dans chaque clé, créez une nouvelle clé nommée Server et une autre nommée Client.
- Dans chaque sous-clé, créez une valeur DWORD nommée Enabled et définissez-la à 0.
Cette procédure permet de désactiver les versions obsolètes de TLS sur les systèmes Windows.
Windows Server 2022
Windows Server 2022 supporte nativement TLS 1.3. Pour désactiver TLS 1.0 et 1.1, suivez les mêmes étapes que pour Windows, en utilisant le registre ou les GPO.
Linux
Sur les systèmes Linux, les configurations TLS se gèrent souvent via des fichiers de configuration des services. Pour désactiver TLS 1.0 et 1.1 sur un serveur Apache par exemple :
- Ouvrez le fichier de configuration d’Apache (généralement /etc/httpd/conf/httpd.conf).
- Ajoutez ou modifiez la directive SSLProtocol pour inclure seulement les versions souhaitées : SSLProtocol -all +TLSv1.2 +TLSv1.3.
- Redémarrez Apache pour appliquer les modifications.
Cette méthode garantit que seuls TLS 1.2 et 1.3 sont activés, renforçant ainsi la sécurité de votre serveur.
Meilleures pratiques pour une désactivation sécurisée de TLS
Pourquoi désactiver TLS et quels sont les risques ?
Désactiver les versions obsolètes de TLS comme TLS 1.0 et TLS 1.1 est fondamental pour réduire les risques de vulnérabilités. Ces versions sont connues pour leurs failles de sécurité majeures telles que BEAST, POODLE et DROWN. Les normes de sécurité des données comme PCI DSS désactivent aussi ces versions pour se conformer à des standards de sécurité plus élevés. Bien que COVID-19 ait retardé certaines mises à jour, la migration vers TLS 1.2 et TLS 1.3 reste impérative.
Considérations lors de la désactivation
Pour une désactivation sécurisée, suivez ces étapes :
- Effectuez un inventaire complet des systèmes et applications utilisant TLS 1.0 et TLS 1.1.
- Communiquez avec les parties prenantes pour planifier une migration vers les versions plus récentes TLS 1.2 et TLS 1.3.
- Testez les applications et les services pour vérifier la compatibilité avec les versions plus récentes de TLS.
L’IETF approuve TLS 1.3, ce qui en fait une option fiable pour remplacer les versions obsolètes.
Surveillance et maintenance post-désactivation
Après avoir désactivé les anciennes versions de TLS, surveillez activement vos systèmes pour détecter toute anomalie. Mettez en place des alertes pour identifier les tentatives d’accès utilisant les versions obsolètes. Documentez toutes les modifications et mettez à jour les politiques de sécurité pour refléter ces changements. La surveillance continue garantit que les systèmes restent sécurisés et conformes aux normes établies.
