D’après les dernières nouvelles de l’industrie SSL, le nouveau système de gestion de l’information de la Commission européenne a été mis en place. La version 3.2 de la norme PCI DSS sera publiée ce printemps. Initialement, , la date de sortie était prévue pour l’automne.
Le Conseil des normes de sécurité PCI a révisé la date de publication pour inclure la période prolongée de la migration SSL 3.0/TLS 1.0 en raison de l’expansion actuelle du paysage des menaces.
PCI DSS 3.2
La version actuelle de la norme PCI DSS 3.1 a été la première à introduire des lignes directrices strictes concernant la migration de SSL 3.0 et TLS 1.0. Selon cette version, ces deux protocoles ne devraient plus être utilisés comme contrôle de sécurité après le 30 juin 2016. Cela signifie que jusqu’à cette date, tous les propriétaires de sites web traitant des données de titulaires de cartes doivent désactiver ces versions du protocole pour se conformer aux nouvelles exigences.
Cependant, le PCI Security Standards Council a modifié cette date dans son “Bulletin on Migrating from SSL and Early TLS” de décembre 2015, en prolongeant la période jusqu’au 30 juin 2018. Cette révision fait suite à un important retour d’information de la part des membres de PCI DSS. Toutefois, le Conseil a fermement indiqué qu’il n’était pas recommandé d’attendre jusqu’en 2018. Le nouveau délai sera inclus dans la norme PCI DSS 3.2, dont la publication est prévue pour mars ou avril 2016.
Améliorer la sécurité des sites web
Selon le bulletin, en novembre 2015, plus de 67 % des sites web étudiés présentaient une sécurité insuffisante. Cela signifie que ces sites web sont exposés à des cyber-attaques très médiatisées telles que “POODLE“, “FREAK“, “BEAST“, “CRIME” ou “Heartbleed“, qui exploitent les faiblesses des protocoles SSL 3.0 et TLS 1.0, publiés dans les années quatre-vingt-dix. Ces cyber-attaques permettent aux pirates de réaliser des attaques de type “man-in-the-middle“, grâce auxquelles ils peuvent facilement décrypter les données sensibles des détenteurs de cartes ou voler des clés cryptographiques à longue durée de vie. Les vulnérabilités des protocoles SSL 3.0 et TLS 1.0 ne peuvent pas être corrigées. C’est pourquoi la norme PCI DSS impose la migration vers la dernière version des protocoles TLS : TLS 1.1 et TLS 1.2, qui ont été publiées en 2006 et 2008.
Après la découverte par Google de la vulnérabilité POODLE, plusieurs mesures de protection ont été mises en place pour renforcer la sécurité des sites web. Tout d’abord, les versions les plus récentes des navigateurs les plus populaires ne prennent plus en charge le protocole SSL 3.0. Deuxièmement, il est recommandé à tous les webmasters de désactiver les options SSL 3.0 et TLS 1.0 de leur serveur. Une fois ces options désactivées, le certificat SSL protège la connexion en utilisant uniquement les versions les plus récentes du protocole TLS.
Bien que les nouvelles exigences de la norme PCI DSS 3.2 ne concernent directement que les propriétaires de sites web traitant des données relatives aux titulaires de cartes, aux paiements, aux données personnelles ou administratives, la recommandation de passer à la norme TLS 1.2 s’applique à tous les webmasters. Le nombre de violations de données est en constante augmentation, et il est primordial de ne pas compromettre la sécurité en ligne et la réputation de votre entreprise en utilisant des protocoles de cryptage dépassés. Les certificats SSL disponibles prennent en charge tous les protocoles, alors n’hésitez pas à protéger votre site web en le faisant passer à TLS 1.2.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
