Weak Cipher Suites Supported

Suites de chiffrement faibles prises en charge

Risque : low

Description

Cette vulnérabilité indique que le serveur prend en charge une ou plusieurs suites de chiffrement faibles. Les suites de chiffrement faibles sont des algorithmes cryptographiques considérés comme non sécurisés en raison de vulnérabilités connues ou de longueurs de clé insuffisantes.

Les suites de chiffrement faibles peuvent inclure : - RC4 - 3DES - Chiffrements utilisant MD5 pour l'authentification des messages - Chiffrements NULL (pas de chiffrement) - Chiffrements de niveau EXPORT - DES (Data Encryption Standard) - Diffie-Hellman anonyme (ADH) ou courbe elliptique Diffie-Hellman anonyme (AECDH)

Ces suites de chiffrement faibles peuvent entraîner divers risques de sécurité, notamment :

1. Force de chiffrement insuffisante
2. Vulnérabilité aux attaques connues (par ex., BEAST, POODLE, FREAK)
3. Absence de confidentialité persistante (forward secrecy)
4. Attaques de l'homme du milieu (MitM)
5. Attaques par repli (downgrade attacks) forçant l'utilisation de chiffrements plus faibles

Exemple de scénario : Un attaquant pourrait exploiter une suite de chiffrement faible comme RC4 pour déchiffrer des informations sensibles transmises via une connexion chiffrée. Cela pourrait conduire à l'exposition d'identifiants de connexion, de jetons de session (session tokens) ou d'autres données confidentielles.

La prise en charge de ces suites de chiffrement faibles enfreint également diverses normes de sécurité et bonnes pratiques, ce qui pourrait avoir un impact sur la conformité aux réglementations telles que la norme PCI-DSS, HIPAA et le RGPD.

Recommandation

Pour faire face aux risques associés aux suites de chiffrement faibles, envisagez de mettre en œuvre les recommandations suivantes :

1. Désactiver les suites de chiffrement faibles :
2. Supprimez la prise en charge de toutes les suites de chiffrement faibles, y compris RC4, 3DES, les chiffrements NULL, les chiffrements de niveau EXPORT et ceux utilisant MD5.

3. Désactivez les méthodes d'échange de clés anonymes (ADH, AECDH).

4. Activer des suites de chiffrement fortes :

5. Utilisez des suites de chiffrement fortes qui prennent en charge la confidentialité persistante (Perfect Forward Secrecy - PFS).
6. Préférer ECDHE ou DHE pour l'échange de clés.
7. Utilisez AES-GCM ou ChaCha20-Poly1305 pour le chiffrement.

8. Assurez-vous que l'authentification des messages utilise SHA-256 ou supérieur.

9. Prioriser les suites de chiffrement :

10. Ordonnez les suites de chiffrement pour préférer les options les plus fortes et les plus sûres.

11. Suivez les recommandations de sources réputées telles que le générateur de configuration SSL de Mozilla.

12. Mettre en œuvre une configuration TLS sécurisée :

13. Utilisez TLS 1.2 ou TLS 1.3 (préféré).
14. Désactivez la compression TLS pour éviter les attaques CRIME.

15. Activez l'agrafage OCSP (OCSP stapling) pour une validation efficace des certificats.

16. Mettre en œuvre HTTP Strict Transport Security (HSTS) :

17. Utilisez HSTS pour garantir que les clients se connectent toujours en HTTPS, empêchant ainsi les attaques par repli (downgrade).

Liens

• Lignes directrices du NIST pour les implémentations TLS
• Aide-mémoire OWASP sur la protection de la couche transport
• SSL Labs : Meilleures pratiques de déploiement de SSL et TLS

Normes

• SOC2_CONTROLS:
  • CC_6_7
  • CC_7_1
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
• PCI_STANDARDS:
  • REQ_2_3
  • REQ_4_1
  • REQ_6_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
  • SECURITY255