Auteur Sujet: La banque LCL ne supporte pas TLS 1.2 (Lu 26063 fois)

vivien · « **Réponse #36 le:** 03 novembre 2018 à 20:04:03 »

J'ai reporté le pb en tant que pb de sécurité à l'équipe sécurité de LCL.

On va voir si cela bouge ou pas...

buddy · « **Réponse #37 le:** 21 décembre 2018 à 16:09:11 »

ça n'a toujours pas bougé ..

c'est fou quand même (surtout qu'ils recommandent eux mêmes de désactiver TLS 1.0 ..)

vivien · « **Réponse #38 le:** 21 décembre 2018 à 16:15:01 »

Il me semble qu'ils ont supprimés la page suivante :

Citation de: vivien le 23 octobre 2018 à 14:17:34

Pour bien rigoler : LCL vous invite à désactiver TLS 1.0 dans votre navigateur, ce qui rend impossible l’accès à leur site.
=> https://telecharger-releves.secure.lcl.fr/testssl/LCL/tls1.0_details.html
Sérieusement, ils ont testé leurs conseils, ou ils ont recopiés les recommandation du Conseil des normes de sécurité PCI sans voir que cela bloquait l’accès au site ?

Extrait du site de LCL :

Pourquoi arrêter la prise en charge de ce protocole ?

Nous procédons à la désactivation du protocole TLS 1.0 afin de :

Conserver un niveau de sécurité respectant l’état de l’art sur notre plate-forme d'hébergement.
Maintenir des normes de sécurité les plus élevées pour renforcer la protection de vos données.
A ce jour, l'Agence Nationale de la Sécurité des Système d'Information (ANSSI) recommande fortement de ne plus autoriser le protocole TLS 1.0 pour la protection et le chiffrement des flux réseau, ce protocole de chiffrement étant devenu trop faible.

Configurer son navigateur

internet Explorer
1. Dans le menu Outils, cliquez sur Options Internet.
2. Sur l'onglet Avancé, sous Sécurité, vérifer :
- SSL 2.0 = décoché
- SSL 3.0 = décoché
- TLS 1.0 = décoché
- TLS 1.1 = coché
- TLS 1.2 = coché
3. Cliquez sur Appliquer, puis sur OK.

Firefox
1. Dans la barre d'adresse de Firefox, saisir about:config
2. Si une fenêtre de sécurité apparait, cliquer sur Je prends le risque
3. Ensuite rechercher security.tls.version.min et modifier la valeur à 2 pour activer TLS 1.1
4. Ensuite rechercher security.tls.version.max et modifier la valeur à 3 pour activer TLS 1.2

Chrome
1. Dans Google Chrome faire ALT + F, ensuite Paramètres
2. Descendre en bas de la fenêtre et cliquer sur Afficher les paramètres avancés ...
3. Dans la zone Réseau, cliquer sur Modifier les paramètres de proxy
4. Sur l'onglet Avancé, sous Sécurité, vérifer :
- SSL 2.0 = décoché
- SSL 3.0 = décoché
- TLS 1.0 = décoché
- TLS 1.1 = coché
- TLS 1.2 = coché
5. Cliquez sur Appliquer, puis sur OK.

Source : LCL

Leur site particuliers.secure.lcl.fr reste accessible uniquement en TLS 1.0

vivien · « **Réponse #39 le:** 21 décembre 2018 à 16:24:53 »

La seule page sur la sécurité fait machine arrière : il ne faut plus désactiver SSL 2.0 / SSL 3.0 / TLS 1.0 mais il est expliqué :

Pour accéder à notre serveur sécurisé et assurer un fonctionnement optimal du service, vous devez donc utiliser [...] le protocole SSL 128 bits, soit, par exemple, au minimum Internet Explorer version 5.5 et plus.

Source : https://telecharger-releves.secure.lcl.fr/LCLP/aide/securite.html

J'ai fais un petit tweet (en rajoutant l'ANSSI), on va voir si ils confirment ce que dit leur site...

Moi je ne vais prendre aucun risque si je passe chez eux : je vais virtualiser Internet Explorer 5.5 (date de sorite : 8 juillet 2000) sur Windows 95 pour être sur d'être en totale sécurité.

vivien · « **Réponse #40 le:** 21 décembre 2018 à 16:48:52 »

J'ai lu sur le site de l'assureur Groupe SMABTP que le "protocole SSL 128 bits, le plus puissant autorisé en France à ce jour."

J'aime bien le passage pour les Mac :

Si vous avez un Macintosh : Internet Explorer, à partir de sa version 5, est compatible au SSL 128 bits.
Attention : il existe une spécificité propre à Internet Explorer concernant le certificat SSL. Pour le SSL 128 bits, le certificat version 2 est insuffisant. Il faut vous assurer que la version 3 est bien installée. Pour vérifier que cette version est bien installée, allez dans la barre de menu de votre navigateur et ciquez sur "outils". Dans le menu déroulant, allez dans "options internet". Une fois la boîte de dialogue ouverte, cliquez sur l'onglet "avancé". Vous devez alors voir l'écran suivant s'afficher :

verif certif v3

Vous devrez cocher la case "SSL 3.0" si celle-ci n'est pas cochée.

Et un nouveau petit tweet innocent : https://twitter.com/lafibreinfo/status/1076144635595104256
J'aimerais trop avoir une réponse. Quel que soit la réponse, ce sera pop corn.

Harvester · « **Réponse #41 le:** 22 décembre 2018 à 21:22:19 »

La situation est d'autant plus troublante que les autres sous-domaines du LCL, utilisés notamment pour les assets type CSS ont une configuration relativement à l'état de l'art (cf. screenshot)

vivien · « **Réponse #42 le:** 22 décembre 2018 à 21:25:01 »

Oui, il n'y a rien qui fonctionnerais avec le navigateur proposé par la page qui évoque la sécurité (Internet Explorer version 5.5)

vivien · « **Réponse #43 le:** 04 janvier 2019 à 22:11:58 »

Citation de: vivien le 21 décembre 2018 à 16:24:53

La seule page sur la sécurité fait machine arrière : il ne faut plus désactiver SSL 2.0 / SSL 3.0 / TLS 1.0 mais il est expliqué :

Pour accéder à notre serveur sécurisé et assurer un fonctionnement optimal du service, vous devez donc utiliser [...] le protocole SSL 128 bits, soit, par exemple, au minimum Internet Explorer version 5.5 et plus.

Source : https://telecharger-releves.secure.lcl.fr/LCLP/aide/securite.html

J'ai fais un petit tweet (en rajoutant l'ANSSI), on va voir si ils confirment ce que dit leur site...

Moi je ne vais prendre aucun risque si je passe chez eux : je vais virtualiser Internet Explorer 5.5 (date de sorite : 8 juillet 2000) sur Windows 95 pour être sur d'être en totale sécurité.

Windows 2000 est livré avec IE 5 :

Je me lance donc dans une mise à jour IE 5.5

Mais Internet Explorer 5.5 n'est pas suffisant pour avoir le chiffrement 128 bits :

En fait LCL à oublié d'indiquer qu'il faut installer le service pack 4 de Windows 2000 pour avoir un chiffrement 128bits :

Alors là je suis étonné, le site LCL ne fonctionne pas alors que j'utilise le navigateur recommandé avec le chiffrement recommandé SSL 128bits

Ce n'est pas un pb DNS, vu que la redirection http => https fonctionne bien.
On a même le droit à un avertissement : Attention, vous rentrez sur un site chiffré, l'heure est grave !

tomfibre · « **Réponse #44 le:** 05 janvier 2019 à 11:01:52 »

Et dire que maintenant on commence à mettre en arrière paln (comme dans chrome) le fait que un site est en https.

D’ailleurs pourquoi à l'époque ils ont déployé autant de notification pour dire "attention, ce site est https!"?

vivien · « **Réponse #45 le:** 03 février 2019 à 15:32:24 »

Mauvaise nouvelle pour LCL dont le site est toujours en TLS 1.0 uniquement (pas de support de TLS 1.1 ou supérieur)

=> Google Chrome 72 supprime HPKP et déprécie TLS 1.0 et TLS 1.1

buddy · « **Réponse #46 le:** 03 février 2019 à 16:49:13 »

Citation de: vivien le 03 février 2019 à 15:32:24

Mauvaise nouvelle pour LCL dont le site est toujours en TLS 1.0 uniquement (pas de support de TLS 1.1 ou supérieur)

=> Google Chrome 72 supprime HPKP et déprécie TLS 1.0 et TLS 1.1

Le "problème" est que Google n'affiche pas encore de message d'erreur bien visible pour tous (j'ai essayé, un utilisateur lambda ne verra rien), donc ça ne forcera pas lcl à mettre à jour leur site ...
C'est début 2020 quand Chrome et Firefox vont complètement supprimer TLS 1.0 et 1.1 que ça va leur faire drôle ..

darkmoon · « **Réponse #47 le:** 03 février 2019 à 17:18:19 »

Citation de: vivien le 03 février 2019 à 15:32:24

Mauvaise nouvelle pour LCL dont le site est toujours en TLS 1.0 uniquement (pas de support de TLS 1.1 ou supérieur)

J'suis étonné (étant client de cette banque), pour moi il affiche bien TLS 1.2 ....