SHA-1 c’est la fin, place à SHA-2

Algorithme SHA-1L’algorithme SHA-1 est poussé vers la sortie, comme l’a été MD5 en son temps. La sécurité informatique évolue, les défenses doivent s’adapter à des vecteurs d’attaque plus puissants.

Il en est ainsi pour Secure Hash Algorithm 1er du nom, trop faible désormais devant la puissance de calcul brute des contrefacteurs, bandits des internets ou agences gouvernementales. Cet algorithme de condensation (hashage) est obsolète, et est poussé vers la sortie par les éditeurs majeurs du marché des navigateurs Web.

Passons donc à SHA-2 (au moins la déclinaison SHA-256) au plus vite, la sécurité du web s’en portera mieux. (image de wikipedia).L’ANSSI milite sur le sujet depuis longtemps. Tous les éditeurs doivent s’y coller petit à petit.

Là où ça commence à se voir, c’est lorsque ce sont les éditeurs de navigateur qui font du lobbying: Google Chrome, Mozilla Firefox vont afficher des messages d’alerte chaque fois qu’un certificat serveur n’est plus considéré comme assez sûr.
Autrement dit, tant que les certificats électroniques auront du SHA1 dedans.

Compte à rebours du SHA-1

Il n’y a plus de temps à perdre, la mise à mort est déjà bien entamée:

  • 1er janvier 2016: déjà Facebook refuse les certificats construits avec SHA-1 de la part des développeurs d’application tierce
  • 1er janvier 2016: c’est aussi la date à laquelle Microsoft demande aux autorités de certification d’arrêter de fournir de tels certificats
  • 1er janvier 2017: Microsoft n’accepte plus les certificats SHA-1
  • 24 janvier 2017: Mozilla libère Firefox 51 qui déprécie (rend obsolète) ces certificats, avec messages anxiogènes à la clé.
  • 31 janvier 2017: Google libère Chrome 56, qui enlève le support de ceux-ci
  • 14 février 2017: Microsoft fait de même, et ôte donc le support des certificats SHA-1 dans Edge ainsi que IE11.

C’est le même scénario pour les systèmes d’exploitation iOS et Android, ainsi que leur écosystème (avis aux développeurs d’application)

Gestionnaires de certificats: à vos porte-clés, ou à vos portes-monnaie ! Il est l’heure de migrer

Ressources et articles intéressants

  • publié 17 jan 2017: https://threatpost.com/sha-1-end-times-have-arrived/123061/ .
  • Pour en savoir plus sur SHA-1: https://fr.wikipedia.org/wiki/SHA-1 .

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.