Posté sur par Mel Hawthorne
RC4 est un chiffrement de flux cryptographique non sécurisé qui est connu pour avoir de multiples failles de sécurité critiques qui le rendent essentiellement inutile. RC4 était principalement utilisé dans le protocole de sécurité Wi-Fi WEP (protocole équivalent filaire) et comme chiffrement dans TLS ((Transport Layer Security) utilisé dans la sécurité Web pour HTTPS) avant que des vulnérabilités importantes ne soient découvertes en 2001 et 2013 respectivement. Le chiffrement RC4 a été conçu pour la première fois en 1987 par Ron Rivest de RSA Security. L'algorithme reste propriétaire, bien qu'il ait fait l'objet d'une ingénierie inverse et d'une fuite en 1994, pour éviter les revendications de droits d'auteur, l'algorithme est parfois aussi appelé ARC4 (Alleged Rivest Cipher 4).
Technipages explique RC4
L'implémentation de RC4 dans WEP était si imparfaite qu'il est possible de casser la clé de cryptage 128 bits en moins d'une minute. Au moment où l'attaque a été démontrée pour la première fois, il n'y avait pas de protocoles alternatifs pour la sécurité WiFi et la norme WPA qui a finalement remplacé WEP a dû être précipitée pour fournir une alternative.
Le chiffrement RC4 utilisé dans TLS était l'un des rares chiffrements contemporains non affectés par le problème BEAST découvert en 2011 car il n'utilisait pas de chiffrement CBC (cipher block chaining). Comme SSLv3 et TLS1.0 ne prenaient en charge que les chiffrements CBC et RC4, RC4 a été pendant un certain temps recommandé comme solution de contournement jusqu'à ce qu'une attaque contre les suites de chiffrement RC4 soit identifiée en 2013. L'implémentation TLS de RC4 nécessite une puissance de traitement beaucoup plus importante que la attaque contre le WEP, mais il a été jugé possible que les agences de sécurité gouvernementales soient en mesure de effectuer.
Un grand nombre d'autres attaques ont montré des faiblesses statistiques dans RC4 à la fois avant et depuis les deux principales vulnérabilités. En général, l'utilisation de RC4 doit être évitée car des alternatives plus sûres sont désormais disponibles.
Utilisations courantes du RC4
- RC4 est un chiffrement de flux cryptographique inventé par Ron Rivest.
- Les principaux facteurs du succès de RC4 dans un large éventail d'applications étaient sa vitesse et sa simplicité.
- La RFC 7465 interdit l'utilisation des suites de chiffrement RC4 dans toutes les versions de TLS.
Utilisations abusives courantes du RC4
- RC4 est un algorithme de hachage qui doit être utilisé pour stocker en toute sécurité les mots de passe dans les bases de données.