… quand certains fournisseurs nous prennent pour des pigeons, ça coince, ça chouine, ça hurle… mais on est où ? Allô ? Il y a quelqu’un au bout du fil ?
Salut à tous, bon, nous sommes en 2026, y a la guerre en Iran, oui ou non ?! Qu’à cela ne tienne, aujourd’hui, on parle TLS, ce petit protocole qui permet à vos données de voyager sur le web de manière à peu près sécurisée… Oui, comme un portefeuille dans le métro, dirons-nous plutôt… en sursis, pour ne pas dire plus.
TLS 1.1, sorti en 2006, a fêté ses 20 ans quasi jour pour jour, et pourtant, certains acteurs du marché veulent nous faire croire que « ben c’est pas grave, rooooh, allez, tranquiiiile ». Pire : alors que TLS 1.3 est là depuis 2018 avec ses performances grandement améliorées et sa sécurité renforcée, on a encore des fournisseurs qui nous sortent des services compatibles uniquement avec TLS 1.1 (hein, les gars d’evObserve, oui oui, on vous voit)… On est en 2026 je rappelle, pas en 2010, les gars.
Pourquoi c’est grave, docteur ? Parce que chaque version de TLS, ce n’est pas pour les chiens ni pour les beaux yeux des développeurs ! Plus efficace, plus solide et surtout moins vulnérable, même en intranet (j’ai envie de dire, surtout en intranet, quand en plus on tient la baraque sécu à bout de bras à cause d’un manque cruel de financement et d’un déficit qui ferait pâlir mon notaire). TLS 1.1, par exemple, a été officiellement enterré en 2021 par l’IETF. TLS 1.2, c’est mieux, ça peut passer… mais est-ce si dur que ça à implémenter avec tous les outils IA disponibles aujourd’hui ? Les failles comme POODLE ou BEAST, qui faisaient trembler les admins sys il y a 10 ans, sont toujours exploitables sur les vieilles versions. Et TLS 1.3, lui, a viré les vieilleries cryptographiques pour offrir un truc propre, rapide, et surtout, moins cassable.
Mais non, certains préfèrent jouer les nostalgiques, comme si la sécurité était un menu à la carte : « Ah non, moi je prends la version 1.2 max, c’est mon droit ! On est en démocratie, oui ou merde ? »
Le pire, c’est que ces retards ne sont pas juste une question de paresse technique. C’est un vrai risque : données exposées, attaques « man-in-the-middle » facilitées, et une porte grande ouverte pour les joyeux lurons qui adorent intercepter vos mots de passe, ne serait-ce que ça. Alors oui, migrer prend du temps, ça coûte un peu d’argent, et il faut parfois bousculer des infrastructures dignes d’un musée. Mais quand on voit des boîtes continuer à servir du TLS 1.1 en 2026, on se demande : est-ce de l’incompétence, de la négligence, ou carrément une stratégie pour nous faire mariner ? Alors, chers fournisseurs, un conseil : sortez vos doigts du nez (pour ne pas dire plus), mettez vos applications à jour, et arrêtez de nous faire croire que « ça suffira bien ». Parce qu’en matière de sécurité, « ça suffira bien » est synonyme de « on attend juste la prochaine fuite de données pour réagir ».
Et ça, franchement, c’est usant. Pour nous, et pour nos nerfs.
ROGNOTUDJU !
