Franchement, se débarrasser des anciennes versions TLS sous Windows, c’est un vrai casse-tête. Parfois, modifier le registre ne suffit pas, surtout si vous voulez garantir l’utilisation du bon protocole, comme TLS 1.2 ou 1.3. Si vous cherchez à renforcer la sécurité et à éviter que les anciens protocoles ne ralentissent votre système, ce guide vous propose quelques astuces. Vous apprendrez comment désactiver TLS 1.0 et 1.1 à l’échelle du système, soit via une stratégie de groupe, soit directement en modifiant le registre, et comment vous assurer que vos applications et navigateurs utilisent bien les protocoles plus récents et plus sûrs. L’objectif ? Prévenir les failles de sécurité potentielles dues aux anciennes versions TLS. Mais attention, il arrive que certaines applications deviennent inutilisables ; il faudra donc parfois l’accepter. Et oui, redémarrer l’ordinateur ou les services fait partie du processus. Parce que, bien sûr, Windows aime bien compliquer les choses.
Comment désactiver les anciennes versions de TLS sous Windows
Méthode 1 : Utiliser la stratégie de groupe pour bloquer les anciens protocoles TLS
Voici une méthode plus propre et centralisée, idéale pour les environnements de domaine. Le principe consiste à configurer la stratégie « Désactiver la prise en charge du chiffrement », qui limite les versions TLS/SSL disponibles pour les navigateurs et les composants système. Généralement, cela concerne Internet Explorer et certains composants Windows, mais aussi d’autres applications utilisant les configurations WinHTTP ou SCHANNEL.
Pourquoi c’est utile : cela empêche les paramètres utilisateur de réactiver d’anciennes versions de chiffrement, renforçant ainsi la sécurité de toutes les machines du domaine. Quand cela fonctionne : après l’application de la stratégie de groupe et le redémarrage, seules les versions TLS sélectionnées seront disponibles, et les anciens protocoles comme TLS 1.0/1.1 seront désactivés (à condition d’avoir coché les cases correspondantes).
Concrètement : dans l’éditeur GPO, accédez à Configuration ordinateur > Modèles d’administration > Composants Windows > Internet Explorer > Panneau de configuration Internet Explorer > Page avancée. Activez ensuite l’ option « Désactiver la prise en charge du chiffrement » et sélectionnez les protocoles pris en charge dans la liste déroulante « Combinaisons de protocoles sécurisés ». Cela correspond à la valeur DWORD SecureProtocols dans le registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings.
N’oubliez pas : un redémarrage est nécessaire pour que les modifications soient prises en compte. Sur certaines configurations, les changements ne sont pas immédiats et vous pourriez voir un message d’erreur du type « Certains paramètres sont gérés par votre administrateur système » si vous ne redémarrez pas. De plus, cette méthode ne désactive pas complètement la prise en charge de TLS 1.0/1.1 sur les services côté serveur comme IIS ou Exchange ; il s’agit d’une autre procédure.
Méthode 2 : Modifications du registre pour un contrôle plus approfondi
C’est un peu complexe, mais plus flexible. Vous modifiez directement les entrées du registre HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. Vous pouvez ajouter ou modifier des clés pour désactiver certaines versions de TLS, comme TLS 1.0 et TLS 1.1, et activer explicitement TLS 1.2. Cela vous offre un contrôle plus précis sur les éléments activés ou désactivés pour les clients et les serveurs.
Pourquoi cela est utile : Vous pouvez désactiver complètement TLS 1.0 et 1.1, y compris sur les composants serveur, en ajoutant ces clés :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Clients] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Servers] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000
Et pour TLS 1.2, afin de l’activer de force, vous ajouteriez :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Clients] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Servers] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
Cette méthode est plus robuste, mais nécessite un redémarrage du système ou du service pour être appliquée. Sur certaines machines signalées comme vulnérables, la procédure peut s’avérer délicate si des politiques de sécurité bloquent ou empêchent la modification du registre ; il est donc conseillé de procéder avec prudence et de faire un test au préalable.
Méthode 3 : Utilisation des fichiers de registre pour le déploiement
Vous gérez plusieurs machines ? Plutôt que de modifier chacune d’elles, créez simplement un fichier de registre contenant les modifications souhaitées et déployez-le via une stratégie de groupe (GPO), MDT ou SCCM. Enregistrez vos modifications de registre dans un .regfichier et importez-le en masse. Vous garantissez ainsi la cohérence de votre environnement sans avoir à intervenir sur chaque machine.
Supplémentaire : Ajuster les applications et les paramètres système pour une meilleure compatibilité
C’est là que ça se complique. Les applications comme Outlook ou d’autres applications basées sur WinHTTP peuvent continuer à utiliser par défaut TLS 1.0/1.1, sauf si vous indiquez explicitement à Windows de privilégier TLS 1.2. Pour ce faire, vous devez modifier certaines clés de registre, comme :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001
Même chose pour WinHTTP, ajoutez :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800
Attention : sur Windows Server, vous pouvez également utiliser l’ interface graphique d’IISCrypto pour une approche visuelle du réglage des paramètres SCHANNEL, probablement plus facile si la modification du registre vous donne le tournis.
N’oubliez pas de redémarrer votre ordinateur après avoir effectué toutes ces opérations. Les modifications apportées au registre ou aux stratégies de groupe ne seront prises en compte qu’après une actualisation du système. Enfin, il est toujours recommandé de tester ces paramètres dans un environnement contrôlé afin d’éviter tout dysfonctionnement inattendu.
Résumé
- Désactiver les anciennes versions TLS via le registre ou une stratégie de groupe.
- Assurez-vous que les applications respectent les nouveaux paramètres en modifiant leur configuration dans le registre.
- Redémarrez après avoir effectué des modifications, parfois à plusieurs reprises.
- Effectuez des tests approfondis avant de déployer sur votre réseau.
Conclure
Il ne s’agit pas d’une solution miracle : désactiver TLS 1.0 et 1.1 demande un peu d’effort, mais c’est indispensable pour la sécurité. Les modifications du registre sont la méthode la plus fiable, surtout si vous voulez garantir que tous vos services utilisent les protocoles les plus récents et les plus sécurisés. Attention : certains éléments anciens peuvent ne plus fonctionner, il est donc conseillé de faire des tests au préalable. Espérons que cela vous évitera bien des heures de recherche.