Passer au contenu

Les principaux navigateurs ne vont plus accepter les SHA-1

Microsoft, Google et Mozilla ont annoncé que leurs navigateurs vont refuser les sites Web utilisant cette technique de sécurisation peu fiable.

L’algorithme de hachage SHA-1 (Secure Hash Algorithm), qui sert à sécuriser les pages en HTTPS,  est en train d’être poussé vers la sortie par les éditeurs des principaux navigateurs du marché. Microsoft a annoncé sur son blog qu’à partir du 14 février 2017, ses navigateurs Microsoft Edge et Internet Explorer 11 ne chargeront plus automatiquement les sites qui utilisent un certificat d’authentification SHA-1 et afficheront à la place un message d’erreur. Il sera néanmoins possible de charger le site manuellement.

C’est en réalité une excellente chose, car il est urgent que l’on se débarrasse de SHA-1 au plus vite. Cet algorithme n’offre plus en effet un niveau satisfaisant de sécurité. Et des cybercriminels peuvent profiter de ses faiblesses pour usurper l’identité de sites Web. Microsoft encourage donc les propriétaires de sites Web à mettre à jour rapidement leurs certificats vers des versions SHA-256.

De son côté, Google indique que la version 56 de son navigateur Chrome, prévue pour fin janvier 2017, n’acceptera plus les certificats SHA-1. Pour sa part, Mozilla indique que le rejet des sites avec certificats SHA-1 sera inclus en tant qu’option dans la prochaine version 51 de son navigateur Firefox, prévue pour janvier 2017, et sera activé par défaut dans les versions suivantes. Notons que l’éditeur avait déjà tenté d’arrêter la prise en compte du SHA-1 mais avait dû faire marche arrière pour des problèmes de compatibilité.

Le responsable du chiffrement chez Mozilla, J.C. Jones, précise que « les signatures numériques incorporant l’algorithme SHA-1 pourront bientôt être contrefaites par les personnes dotées de suffisamment de ressources et de motivation. » Il indique également que depuis mai 2016 l’usage de cet algorithme sur le Web est passé de 3,5 à 0,8%. Bref, les jours de cet algorithme créé en 1995 sont comptés car il est désormais trop vieux pour résister aux pirates.

Source : Digital Trends

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


François BEDIN