Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016
Au lieu de janvier 2017 sur son navigateur

Le , par Stéphane le calme

40PARTAGES

5  0 
Cela fait déjà plusieurs mois que SHA-1, la fonction de hachage qui avait été publiée comme un standard fédéral de traitement de l’information par le NIST (National Institute of Standards and Technology), est sur la sellette. Pour rappel, SHA-1 se compose d’un ensemble de fonctions de hachage cryptographique dont le but est d’assurer la fiabilité des certificats SSL. Au fil du temps et avec l’évolution de l’industrie de l’IT, SHA-1 a commencé à montrer des faiblesses. Le NIST avait averti en 2005 que SHA-1 n’était pas assez sûr et avait adopté son successeur.

Microsoft, sans doute conscient du fait que les vulnérabilités SHA-1 seront de plus en plus accessibles notamment avec des paramètres comme la baisse du coût des attaques par force brute ainsi que la montée en gamme des services de calcul dans le cloud, a revu son programme.

« Dans une mise à jour précédente de TechNet, nous avons annoncé que Windows va bloquer les certificats TLS signés en SHA-1 à compter du 1er janvier 2017. À la lumière des récentes attaques sur l’algorithme SHA-1, nous envisageons d’accélérer le planning de dépréciation des certificats TLS signés en SHA-1 si possible dès juin 2016 », a annoncé dans un billet Kyle Pflug, Program Manager de l’équipe responsable du navigateur Microsoft Edge.

Les éditeurs des navigateurs les plus populaires que sont Google, Mozilla et Microsoft, avaient déjà annoncé cette décision applicable sur Chrome, Firefox et Internet Explorer.

Il faut dire que des chercheurs avaient prouvé qu’il était possible de créer un certificat numérique qui a le même hash SHA-1 qu’un certificat légitime et que les utilisateurs pouvaient alors être trompés lors d’une interaction avec un site dans une collision de hachage.

En octobre, une équipe de cryptanalystes a insisté sur le fait que le standard SHA-1 devait être retiré plus tôt que les éditeurs ne le proposaient étant donné que le coût pour casser un chiffrement a chuté plus rapidement que prévu en utilisant librement les facilités du Cloud computing, rendant les collisions SHA-1 à la portée de groupes criminels en ligne.

Mozilla aura été parmi les premiers à réagir : si la date de fin de support de SHA-1 était prévue pour le 1er janvier 2017, elle a finalement été avancée au 1er juillet 2016. « Mozilla a annoncé une intention similaire sur le blog de Sécurité Mozilla. Nous allons continuer à nous coordonner avec les autres fournisseurs de navigateur web pour évaluer l’impact de ce calendrier basé sur la télémétrie et sur les projections actuelles de faisabilité de collisions sur SHA-1 », a rajouté Kyle Pflug. Google de son côté n’a pas encore modifié la date du 1er janvier 2017 prévue pour la fin du support de SHA-1 dans Chrome.

Une étude menée par Netcraft a montré qu'à l'heure actuelle, près de 1 million de sites Web déploient encore des certificats signés SHA-1 sur leur infrastructure. Une enquête ultérieure menée par Netcraft a révélé que bon nombre de sites gouvernementaux et militaires américains utilisent encore des certificats signés SHA-1 obsolètes, exposant ainsi leurs utilisateurs et les données à des risques.

Source : blog Windows, netcraft

Utilisez-vous encore SHA-1 sur vos sites ? Que pensez-vous de cette décision de Microsoft ?

Voir Aussi :

Google annonce la fin du support de SHA-1 dans Chrome, la firme accélère la mort de l'algorithme de hachage cryptographique

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Fagus
Membre actif https://www.developpez.com
Le 17/12/2015 à 13:29
Ces projections ne sont pas sérieuses.
Si on arrête SHA1, et que les gens reçoivent un gros popup "mettez à jour votre navigateur sinon, plus de facebook", il vont le faire... (enfin, si on leur file au passage en drive-by-download un installer "one clic" )
2  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 13/12/2015 à 0:11
Pour "ne pas" léser, ou pour léser les utilisateurs devenus piratables et non sécurisés, ce qui, entre parenthèses, mettra en danger aussi tous ceux qui sont en contact avec eux, etc. Allez zou, -> tribunal !
1  0 
Avatar de atha2
Membre éprouvé https://www.developpez.com
Le 13/12/2015 à 14:57
Je suis pas sur que continuer le support du SHA-1 soit une bonne idée. L'utilisateur a la fausse impression d'être sur une connexion sécurisée (qui ne l'est plus vu que SHA-1 est obsolète), ce qui a mon avis est pire que d'utiliser une connexion non sécurisée.
Le seul avantage est pour les entreprises comme facebook, alibaba... qui vont garder ces 5% d'utilisateur en tant que client, celui-ci étant mis en confiance par le cadenas indiquant un site sécurisé.
1  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 13/12/2015 à 18:57
Le seul avantage est pour les entreprises comme facebook, alibaba... qui vont garder ces 5% d'utilisateur en tant que client, celui-ci étant mis en confiance par le cadenas indiquant un site sécurisé.
Ces 5% sont à mon avis des néophytes de l'info (utiliser Windows xp pour naviguer sur internet avec IE6/7 et en plus sur des sites sensible...), alors cadenas vert ou pas je crois qu'il ne s'en apercevrons pas.

Les autres sont des salariés dans une entreprise qui n'a pas renouvelé leur parc info, mais au boulot ils n'ont rien à faire sur facebook normalement
2  1 
Avatar de robertledoux
Membre habitué https://www.developpez.com
Le 31/12/2015 à 12:39
C'est dingue cette volonté de refuser d'évoluer, surtout au détriment de la sécurité. Je suis persuadé que ces boites auraient fait le même foutoirs en 95 en mode "niaaa on a 70% de nos client qui utilise SHA-0 alors on refuse de passer a SHA-1"... Tu passes et les mec font la mise à jour est mare. C'est pas comme si ça fait des année que SHA-2 est annoncé comme remplacent du vieux SHA-1.
2  1 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 31/12/2015 à 14:23
Citation Envoyé par Olivier Famien Voir le message
Par ailleurs, ces entreprises soulignent que le support pour SHA-1 sera abandonné si une attaque se produisait.
Dommage que la cryptographie soit pas mon truc parce que ça à l'air sympa leur jeu : celui qui réussi a faire passer tout le monde à SHA-2 gagne.
1  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 12/12/2015 à 18:24
Je ne verrais pas pourquoi il faudrait brader la sécurité pour 3% des utilisateur d'internet(sachant que seulement 1/3 de la population mondiale y a accès).
c'est pour moi un problème de sensibilisation du public et rien d'autre.
Pour la plupart des terminaux problématique il suffit de leur faire installer un navigateur récent non ?
Si ils utilisent encore XP il faut les faire passer à linux si ils ne veulent pas payer.
1  1 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 12/12/2015 à 19:36
Du foutage de gueule. Perdre jusqu’à 7% de clients est hors de question, alors on trouve une solution.

Mais puisqu'ils ont l'air de défendre les minorités, ça serait cool qu'ils s'intéressent aux 2.4% de personnes qui n'ont pas (ou ne veulent pas) de support de JS.
1  1 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 13/12/2015 à 8:56
Mais puisqu'ils ont l'air de défendre les minorités, ça serait cool qu'ils s'intéressent aux 2.4% de personnes qui n'ont pas (ou ne veulent pas) de support de JS.
Un site web (comme Facebook) sans js en 2015... mais bien sur
Je vois pas comment tu peut introduire des fonctionnalités "évolué" dans ton site sans avoir recours à l'ajax et au js.

Enfin si, en flash... mais troquer le js à flash sa me parait pas être une bonne solution.
2  2 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 17/12/2015 à 14:04
Citation Envoyé par Fagus Voir le message
Ces projections ne sont pas sérieuses.
Si on arrête SHA1, et que les gens reçoivent un gros popup "mettez à jour votre navigateur sinon, plus de facebook", il vont le faire... (enfin, si on leur file au passage en drive-by-download un installer "one clic" )
Exactement, comme pour IE6.
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web