SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016
Au lieu de janvier 2017 sur son navigateur
Le 2015-11-05 21:15:09, par Stéphane le calme, Chroniqueur Actualités
Cela fait déjà plusieurs mois que SHA-1, la fonction de hachage qui avait été publiée comme un standard fédéral de traitement de l’information par le NIST (National Institute of Standards and Technology), est sur la sellette. Pour rappel, SHA-1 se compose d’un ensemble de fonctions de hachage cryptographique dont le but est d’assurer la fiabilité des certificats SSL. Au fil du temps et avec l’évolution de l’industrie de l’IT, SHA-1 a commencé à montrer des faiblesses. Le NIST avait averti en 2005 que SHA-1 n’était pas assez sûr et avait adopté son successeur.
Microsoft, sans doute conscient du fait que les vulnérabilités SHA-1 seront de plus en plus accessibles notamment avec des paramètres comme la baisse du coût des attaques par force brute ainsi que la montée en gamme des services de calcul dans le cloud, a revu son programme.
« Dans une mise à jour précédente de TechNet, nous avons annoncé que Windows va bloquer les certificats TLS signés en SHA-1 à compter du 1er janvier 2017. À la lumière des récentes attaques sur l’algorithme SHA-1, nous envisageons d’accélérer le planning de dépréciation des certificats TLS signés en SHA-1 si possible dès juin 2016 », a annoncé dans un billet Kyle Pflug, Program Manager de l’équipe responsable du navigateur Microsoft Edge.
Les éditeurs des navigateurs les plus populaires que sont Google, Mozilla et Microsoft, avaient déjà annoncé cette décision applicable sur Chrome, Firefox et Internet Explorer.
Il faut dire que des chercheurs avaient prouvé qu’il était possible de créer un certificat numérique qui a le même hash SHA-1 qu’un certificat légitime et que les utilisateurs pouvaient alors être trompés lors d’une interaction avec un site dans une collision de hachage.
En octobre, une équipe de cryptanalystes a insisté sur le fait que le standard SHA-1 devait être retiré plus tôt que les éditeurs ne le proposaient étant donné que le coût pour casser un chiffrement a chuté plus rapidement que prévu en utilisant librement les facilités du Cloud computing, rendant les collisions SHA-1 à la portée de groupes criminels en ligne.
Mozilla aura été parmi les premiers à réagir : si la date de fin de support de SHA-1 était prévue pour le 1er janvier 2017, elle a finalement été avancée au 1er juillet 2016. « Mozilla a annoncé une intention similaire sur le blog de Sécurité Mozilla. Nous allons continuer à nous coordonner avec les autres fournisseurs de navigateur web pour évaluer l’impact de ce calendrier basé sur la télémétrie et sur les projections actuelles de faisabilité de collisions sur SHA-1 », a rajouté Kyle Pflug. Google de son côté n’a pas encore modifié la date du 1er janvier 2017 prévue pour la fin du support de SHA-1 dans Chrome.
Une étude menée par Netcraft a montré qu'à l'heure actuelle, près de 1 million de sites Web déploient encore des certificats signés SHA-1 sur leur infrastructure. Une enquête ultérieure menée par Netcraft a révélé que bon nombre de sites gouvernementaux et militaires américains utilisent encore des certificats signés SHA-1 obsolètes, exposant ainsi leurs utilisateurs et les données à des risques.
Source : blog Windows, netcraft
Utilisez-vous encore SHA-1 sur vos sites ? Que pensez-vous de cette décision de Microsoft ?
Voir Aussi :
Google annonce la fin du support de SHA-1 dans Chrome, la firme accélère la mort de l'algorithme de hachage cryptographique
Microsoft, sans doute conscient du fait que les vulnérabilités SHA-1 seront de plus en plus accessibles notamment avec des paramètres comme la baisse du coût des attaques par force brute ainsi que la montée en gamme des services de calcul dans le cloud, a revu son programme.
« Dans une mise à jour précédente de TechNet, nous avons annoncé que Windows va bloquer les certificats TLS signés en SHA-1 à compter du 1er janvier 2017. À la lumière des récentes attaques sur l’algorithme SHA-1, nous envisageons d’accélérer le planning de dépréciation des certificats TLS signés en SHA-1 si possible dès juin 2016 », a annoncé dans un billet Kyle Pflug, Program Manager de l’équipe responsable du navigateur Microsoft Edge.
Les éditeurs des navigateurs les plus populaires que sont Google, Mozilla et Microsoft, avaient déjà annoncé cette décision applicable sur Chrome, Firefox et Internet Explorer.
Il faut dire que des chercheurs avaient prouvé qu’il était possible de créer un certificat numérique qui a le même hash SHA-1 qu’un certificat légitime et que les utilisateurs pouvaient alors être trompés lors d’une interaction avec un site dans une collision de hachage.
En octobre, une équipe de cryptanalystes a insisté sur le fait que le standard SHA-1 devait être retiré plus tôt que les éditeurs ne le proposaient étant donné que le coût pour casser un chiffrement a chuté plus rapidement que prévu en utilisant librement les facilités du Cloud computing, rendant les collisions SHA-1 à la portée de groupes criminels en ligne.
Mozilla aura été parmi les premiers à réagir : si la date de fin de support de SHA-1 était prévue pour le 1er janvier 2017, elle a finalement été avancée au 1er juillet 2016. « Mozilla a annoncé une intention similaire sur le blog de Sécurité Mozilla. Nous allons continuer à nous coordonner avec les autres fournisseurs de navigateur web pour évaluer l’impact de ce calendrier basé sur la télémétrie et sur les projections actuelles de faisabilité de collisions sur SHA-1 », a rajouté Kyle Pflug. Google de son côté n’a pas encore modifié la date du 1er janvier 2017 prévue pour la fin du support de SHA-1 dans Chrome.
Une étude menée par Netcraft a montré qu'à l'heure actuelle, près de 1 million de sites Web déploient encore des certificats signés SHA-1 sur leur infrastructure. Une enquête ultérieure menée par Netcraft a révélé que bon nombre de sites gouvernementaux et militaires américains utilisent encore des certificats signés SHA-1 obsolètes, exposant ainsi leurs utilisateurs et les données à des risques.
Source : blog Windows, netcraft
Voir Aussi :
-
FagusMembre expertCes projections ne sont pas sérieuses.
Si on arrête SHA1, et que les gens reçoivent un gros popup "mettez à jour votre navigateur sinon, plus de facebook", il vont le faire... (enfin, si on leur file au passage en drive-by-download un installer "one clic") le 17/12/2015 à 13:29 -
ThornaMembre éprouvéPour "ne pas" léser, ou pour léser les utilisateurs devenus piratables et non sécurisés, ce qui, entre parenthèses, mettra en danger aussi tous ceux qui sont en contact avec eux, etc. Allez zou, -> tribunal !le 13/12/2015 à 0:11
-
atha2Membre éprouvéJe suis pas sur que continuer le support du SHA-1 soit une bonne idée. L'utilisateur a la fausse impression d'être sur une connexion sécurisée (qui ne l'est plus vu que SHA-1 est obsolète), ce qui a mon avis est pire que d'utiliser une connexion non sécurisée.
Le seul avantage est pour les entreprises comme facebook, alibaba... qui vont garder ces 5% d'utilisateur en tant que client, celui-ci étant mis en confiance par le cadenas indiquant un site sécurisé.le 13/12/2015 à 14:57 -
RyzenOCInactifLe seul avantage est pour les entreprises comme facebook, alibaba... qui vont garder ces 5% d'utilisateur en tant que client, celui-ci étant mis en confiance par le cadenas indiquant un site sécurisé.
Les autres sont des salariés dans une entreprise qui n'a pas renouvelé leur parc info, mais au boulot ils n'ont rien à faire sur facebook normalementle 13/12/2015 à 18:57 -
robertledouxMembre avertiC'est dingue cette volonté de refuser d'évoluer, surtout au détriment de la sécurité. Je suis persuadé que ces boites auraient fait le même foutoirs en 95 en mode "niaaa on a 70% de nos client qui utilise SHA-0 alors on refuse de passer a SHA-1"... Tu passes et les mec font la mise à jour est mare. C'est pas comme si ça fait des année que SHA-2 est annoncé comme remplacent du vieux SHA-1.le 31/12/2015 à 12:39
-
IradrilleExpert confirméDommage que la cryptographie soit pas mon truc parce que ça à l'air sympa leur jeu : celui qui réussi a faire passer tout le monde à SHA-2 gagne.le 31/12/2015 à 14:23
-
TiranusKBXExpert confirméJe ne verrais pas pourquoi il faudrait brader la sécurité pour 3% des utilisateur d'internet(sachant que seulement 1/3 de la population mondiale y a accès).
c'est pour moi un problème de sensibilisation du public et rien d'autre.
Pour la plupart des terminaux problématique il suffit de leur faire installer un navigateur récent non ?
Si ils utilisent encore XP il faut les faire passer à linux si ils ne veulent pas payer.le 12/12/2015 à 18:24 -
IradrilleExpert confirméDu foutage de gueule. Perdre jusqu’à 7% de clients est hors de question, alors on trouve une solution.
Mais puisqu'ils ont l'air de défendre les minorités, ça serait cool qu'ils s'intéressent aux 2.4% de personnes qui n'ont pas (ou ne veulent pas) de support de JS.le 12/12/2015 à 19:36 -
RyzenOCInactifMais puisqu'ils ont l'air de défendre les minorités, ça serait cool qu'ils s'intéressent aux 2.4% de personnes qui n'ont pas (ou ne veulent pas) de support de JS.
Je vois pas comment tu peut introduire des fonctionnalités "évolué" dans ton site sans avoir recours à l'ajax et au js.
Enfin si, en flash... mais troquer le js à flash sa me parait pas être une bonne solution.le 13/12/2015 à 8:56 -
IradrilleExpert confirméle 17/12/2015 à 14:04