IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Twitter rejoint Facebook et CloudFlare pour continuer à supporter SHA-1
Ces entreprises ne vont-elles pas dans le sens contraire de la sécurité ?

Le , par Olivier Famien

180PARTAGES

3  0 
Depuis que des travaux ont démontré qu’il était possible de casser l’algorithme de chiffrement SHA-1 avec du matériel à la portée du commun des utilisateurs, un grand nombre d’entreprises ont pris le devant des choses pour ne plus supporter cette fonction de hachage cryptographique.

En guise de rappel, SHA-1 a été mis en œuvre dans les années 1995 par la NSA en vue de suppléer à l’insuffisance de sécurité décelée dans l’algorithme de hachage SHA-0. Rapidement, SHA-1 est devenu un standard de sécurité pour le chiffrement des données.

Depuis quelques années, des chercheurs ont alerté le monde sur les risques de collision possible pour deux fonctions de compression SHA-1 différentes. Plus récemment, des chercheurs sont parvenus à mettre en œuvre cette hypothèse, ce qui a accéléré la migration des entreprises IT vers de nouveaux algorithmes de chiffrement asymétrique.

Mozilla a annoncé qu’elle ne supporterait plus les certificats SHA-1 à partir de 1er juillet 2016. Microsoft a également abondé dans le même sens et a fixé le mois de juin 2016 comme date de fin du support de SHA-1 dans son navigateur. Google qui avait fixé la sienne au 1er janvier 2017 est en cours de réflexion afin de voir s’il ne serait pas judicieux de rapprocher la date de fin du support de SHA-1 au 1er juillet 2016 comme Mozilla.

À l’opposé de ces entreprises qui souhaitent ne plus supporter ce standard le plus tôt possible, nous avons CloudFlare et Facebook qui après avoir évalué l’impact de l’abandon du support de SHA-1, ont les regards tournés dans le sens contraire et encouragent les entreprises à supporter le standard afin de ne pas priver une partie des utilisateurs de la sécurité offerte par cet algorithme de hachage.

Selon l’enquête menée par Cloudflare, 37 millions d’internautes n’ont pas d’équipements compatibles avec SHA-2 et seraient définitivement coupés des pages chiffrées avec cet algorithme de chiffrement dès l’abandon du support SHA-1.

Facebook a produit des statistiques similaires après avoir détecté que « 3-7 % des navigateurs actuellement utilisés ne sont pas en mesure d’utiliser la norme SHA-256 plus récente, ce qui signifie que des dizaines de millions de personnes ne pourront pas utiliser Internet en toute sécurité après le 31 décembre ».

Pour ne pas léser cette frange des internautes, Facebook et CloudFlare ont mis en œuvre des supports qui prennent en compte aussi bien l’algorithme de chiffrement SHA-256 qui est un élément de la famille SHA-2 que l’ancien algorithme SHA-1 utilisé par certains internautes.

À l’endroit de la communauté IT, ces deux entreprises ont fait des propositions afin qu’elle prenne en compte les clients qui ne disposent pas de support pour SHA-256 en continuant à offrir le support pour SHA-1.

Twitter qui est également concerné par le problème a effectué des tests qui ont permis de démontrer que 3 à 6 % de ses utilisateurs ne pourront pas accéder à sa plateforme à partir de SHA-2. Pour ne pas non plus priver ces personnes de l’accès à sa plateforme, Twitter a, comme Facebook et CloudFlare, mis en place un système qui détecte automatiquement le support d’algorithme utilisé par ses clients et leur propose une connexion sécurisée avec SHA-1 s’ils n’ont pas de support pour SHA-2.

En plus de cette mesure, Twitter annonce qu’il soutient les propositions faites par ces deux entreprises aux éditeurs de navigateurs et aux autorités de délivrance de certificats afin de les inciter à continuer à offrir un support pour SHA-1. Toutefois, il est bon de préciser que les propositions adoptées par Twitter ont été quelque peu modifiées par ce dernier. Elles peuvent être résumées de la manière suivante :

  • la proposition assure la migration continue de SHA-256 pour tous les appareils grand public ;
  • elle ne supporte les anciens certificats SHA-1 que lorsqu’un domaine fournit également le support pour SHA-256 ;
  • les anciens certificats SHA-1 qui ont été validés ne sont disponibles que pour des exigences spécifiques et seront toujours abandonnés en mars 2019 ;
  • l’augmentation de la randomisation des numéros de série d’anciens certificats qui ont été validés a pour effet de produire des résultats moins probables de collisions pour SHA-1 ;
  • dans le cas où une attaque est découverte et qui force l’utilisation inappropriée des certificats SHA-1, les propriétaires mettraient fin à l’utilisation de ces anciens certificats validés.

Avec cette annonce, les utilisateurs disposant uniquement de support pour SHA-1 peuvent espérer continuer à accéder à ces plateformes après l’abandon du support par certaines entreprises. Toutefois, pour que cette initiative puisse atteindre son objectif, ne serait-il pas intéressant pour d’autres entreprises de suivre le pas ?

En outre, vu que Twitter annonce que le support pour SHA-1 sera abandonné en mars 2019, ne serait-il pas mieux de le faire maintenant ? Par ailleurs, ces entreprises soulignent que le support pour SHA-1 sera abandonné si une attaque se produisait. Devrait-on attendre qu’une telle occurrence survienne avant d’abandonner ce certificat ? Ne serait-il pas mieux d’obliger ces utilisateurs à acquérir d’autres supports compatibles avec SHA-256, au lieu de vouloir leur offrir une sécurité à risques ?

Source : Twitter

Et vous ?

Que pensez-vous de ces actions mises en œuvre pour continuer à supporter SHA-1 ? N’est-il pas risqué que de continuer à offrir le support pour SHA-1 ?

À l’opposé, devrait-on laisser pour compte les utilisateurs n’ayant pas d’équipements compatibles avec SHA-2 ?

Voir aussi

Forum Internet

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de robertledoux
Membre averti https://www.developpez.com
Le 31/12/2015 à 12:39
C'est dingue cette volonté de refuser d'évoluer, surtout au détriment de la sécurité. Je suis persuadé que ces boites auraient fait le même foutoirs en 95 en mode "niaaa on a 70% de nos client qui utilise SHA-0 alors on refuse de passer a SHA-1"... Tu passes et les mec font la mise à jour est mare. C'est pas comme si ça fait des année que SHA-2 est annoncé comme remplacent du vieux SHA-1.
2  1 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 31/12/2015 à 14:23
Citation Envoyé par Olivier Famien Voir le message
Par ailleurs, ces entreprises soulignent que le support pour SHA-1 sera abandonné si une attaque se produisait.
Dommage que la cryptographie soit pas mon truc parce que ça à l'air sympa leur jeu : celui qui réussi a faire passer tout le monde à SHA-2 gagne.
1  0 
Avatar de pcazabat
Membre à l'essai https://www.developpez.com
Le 03/01/2016 à 12:30
En mélangeant les termes et les concepts, on en arrive à de la confusion.
SHA-1 n'est pas un algorithme de chiffrement à proprement parlé comme le sont DES, AES ou encore RSA, DSA ou EL GAMAL.
C'est un algorithme de hachage, qui a pour objet de réduire un texte de dimension quelconque en une chaine de dimension fixe. Ces algorithmes sont, par ailleurs, l'un des éléments de la cryptographie à clé publique mais n'en constitue que la première étape.
Bien sûr, cela peut être utilisé comme un mécanisme d'obfuscation, notamment pour enregistrer les mots de passe, mais en cryptologie, il faut être précis.
0  0