Passer au contenu

SHA-1, cet algorithme mal sécurisé que le Web se traine comme un boulet

L’arrêt de cet algorithme de chiffrement est entravé par l’incompatibilité de certains terminaux ou produits de sécurité. Les acteurs du web comme Mozilla ou Facebook sont pour l’instant contraint de le garder en magasin contre leur volonté.

Séquence rétropédalage chez Mozilla. L’éditeur vient de diffuser la mise à jour 43.0.4 de son navigateur Firefox avec comme principal changement l’autorisation générale des certificats de sécurité HTTPS basés sur SHA-1. C’est un retour en arrière, car depuis le 15 décembre dernier, le navigateur open source avait partiellement bloqué ce type de certificats, dans le but de les bloquer totalement d’ici au 1er janvier 2017 pour ne plus qu’autoriser SHA-2, son successeur. Pourquoi ? SHA-1, algorithme cryptographique utilisé pour la signature des certificats, n’est plus tellement sécurisé. En octobre dernier, trois chercheurs en sécurité ont tiré la sonnette d’alarme. Ils ont montré qu’une infrastructure de calcul de 75.000 dollars suffisait désormais pour le casser, ouvrant la porte à l’usurpation de sites web.

À lire : Let’s Encrypt : le Web chiffré gratuit désormais reconnu par les principaux navigateurs

Mais Mozilla a été contraint de faire marche arrière, car le blocage partiel de SHA-1 empêchait certains internautes, dont la connexion passait par un proxy SSL, d’accéder au web. Les proxies SSL sont utilisés en entreprise ou dans certains produits de sécurité grand public pour intercepter et déchiffrer les flux web, dans le but de détecter des menaces. Pour cela, ils utilisent des certificats faits maison, basés parfois sur SHA-1. Résultat : l’internaute arrivait alors systématiquement sur un message d’erreur. Dans la version 43.0.4, ce dysfonctionnement n’existe plus. La fondation ne compte pas stopper pour autant l’arrêt progressif de SHA-1 dans son navigateur, mais il doit désormais attendre que les éditeurs de proxy SSL fassent le premier pas.

6 % des navigateurs en Chine sont incompatibles 

Il n’y a pas que chez Mozilla que l’algorithme SHA-1 crée des soucis. Selon MIT Technology Review, les grands acteurs du Net tels que Facebook ou CloudFlare sont également contraints de préserver cette technologie peu sécurisée pour ne pas se couper des utilisateurs situés dans les pays en voie de développement en Asie et en Afrique. Une part non négligeable d’entre eux utilise, en effet, des terminaux anciens ou peu évolués, incompatibles avec SHA-2. Selon CloudFlare, qui opère un réseau mondial d’acheminement de contenus multimédias, plus de 6% des navigateurs en Chine ne supporte pas SHA-2. Ce qui représente quand même plusieurs dizaines de millions d’utilisateurs.

Bref, même si le manque de sécurité de SHA-1 est désormais bel et bien démontré, il faudra encore le trainer comme un boulet pendant un certain temps…

Télécharger:

Firefox 43.0.4 pour Windows 32bit
Firefox 43.0.4 pour Windows 64bit
Firefox 43.0.4 pour Mac
 Firefox 43.0.4 pour Linux

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN