Auteur Sujet: Le fabricant Datacolor condamne ses produits bloqués sur TLS 1.2 (Lu 260 fois)

mirtouf · « **le:** **Aujourd'hui** à 14:19:55 »

Bonjour à vous,

J'ai reçu ce jour ce mail qui indique que le fabricant Datacolor qui produit notamment des sondes de calibration ne permettra plus l'activation de certains de ses produits dès lors que TLS 1.3 n'est plus supporté.

Citer

Dear Customer,

We want to inform you about an upcoming change that will affect your Spyder device, including Spyder5 and earlier models.

Support for these devices will be discontinued on July 19, 2026. This change is necessary because older Spyder models rely on Transport Layer Security (TLS) v1.2, introduced in 2008, which is now considered obsolete and contains publicly documented security vulnerabilities. Most modern operating systems and web services have already phased out TLS v1.2, making continued support for these devices no longer secure.

What This Means for You

Your currently installed Spyder software will continue to operate normally.
However, beginning July 19, 2026, older Spyder software will no longer support new installations or activations.
Technical support and software updates for Spyder5 and earlier devices will also end on this date.
We’re sharing this well in advance to give you plenty of time to plan your next steps and ensure you remain fully supported.

J'admets que je ne m'attendais pas à cela, TLS 1.2 n'est pas encore troué une fois qu'on exclut certaines suites cryptographiques, la page sur leur site web: https://www.datacolor.com/spyder/promotions/spyder-obsolescence-upgrade/
J'ai été voir sur le site du NIST mais je n'ai pas encore trouvé un document qui demanderait explicitement de désactiver TLS 1.2 (TLS 1.3 est bien sûr préféré).

vivien · « **Réponse #1 le:** **Aujourd'hui** à 14:57:16 »

Je suis très étonné également.

S'il est demandé de couper TLS 1.0 (et TLS 1.1), TLS 1.2 reste tout à fait sécurisé (sous réserve de supprimer les suites cryptographiques qui posent problèmes).

Recommandation ANSSI pour des serveurs web / applicatifs : La version TLS 1.3 doit être prise en charge et privilégiée. La version TLS 1.2 est également acceptée sous condition de suivre les recommandations de ce guide.

Il serait intéressant de savoir quelles sont les suites cryptographiques supportées par l'équipement en question.

Guide ANSSI "Recommandations de sécurité relatives à TLS" : (cliquez sur la miniature ci-dessous - le document est au format PDF)

Harvester · « **Réponse #2 le:** **Aujourd'hui** à 16:57:31 »

Ca ressemble plutôt à de l'obsolescence forcée sous couvert de "sécurité", étant donné que la justification du mail est complètement fausse, TLS 1.2 est toujours considéré comme robuste...

EDIT : possible de faire un audit TLS avec Nmap sur votre équipement, et de poster ici la liste des suites de chiffrement supportées ?

EDIT 2 : en relisant le mail, on dirait qu'ils vont plutôt forcer TLS 1.3 seul sur leurs serveurs, ce qui empêcherait les équipements qui ne peuvent pas utiliser ce protocole de communiquer avec leurs serveurs, j'ai bon ?

mirtouf · « **Réponse #3 le:** **Aujourd'hui** à 17:05:44 »

Je comptais faire cela et voir ce qu'on peut capturer sur le bus USB de Windows.

vivien · « **Réponse #4 le:** **Aujourd'hui** à 17:37:09 »

Citation de: Harvester le Aujourd'hui à 16:57:31

EDIT 2 : en relisant le mail, on dirait qu'ils vont plutôt forcer TLS 1.3 seul sur leurs serveurs, ce qui empêcherait les équipements qui ne peuvent pas utiliser ce protocole de communiquer avec leurs serveurs, j'ai bon ?

Il y a très peu de serveurs TLS 1.3.

Les statistiques sur les 150 000 sites les plus connus montre que 0,0 % sont en TLS 1.3 seul.

https://www.ssllabs.com/ssl-pulse/ affiche des statistiques de 100,0 % de TLS 1.2 (et encore 23,5 % de sites avec TSL 1.0 actif en juin 2025).

Je pencherai plus sur une désactivation de certaines suites cryptographiques de TLS 1.2

Harvester · « **Réponse #5 le:** **Aujourd'hui** à 18:04:45 »

Je suis d'accord que 1.3 seul est très rare, mais ils peuvent très bien décider dans leur tambouille interne que les serveurs qui servent à l'authentification, activation des licences, appels d'APIs, etc, ne répondent qu'en 1.3 aux équipements. Ca c'est leur architecture interne, et si ils font ce choix technique pour une raison X ou Y, ça peut expliquer la dépréciation. Je suppute ce genre de scénario car ils mentionnent explicitement les activations des anciens produits dans leur mail, ce qui laisse à penser que l'infra qui répond aux requêtes d'activation va basculer en 1.3 seul, mais sans plus de détails c'est dur à dire.

Attendons le retour de mirtouf sur ses équipements