Au mois d’octobre dernier, une équipe de chercheurs a jugé que SHA-1, un des principaux algorithmes de cryptage employé sur Internet – notamment pour les connexions HTTPS -, était trop friable à un type d’attaques faciles à mener (via le Cloud) et devait être remplacé.
Face à le menace plus forte, le CA/Browser Forum, une organisation qui regroupe l’industrie logicielle et notamment les éditeurs de navigateurs, a décidé de prendre des décisions plus radicales. Il a proscrit dès 2016 l’émission de nouveaux certificats SHA-1. Mozilla et Microsoft se sont positionnés pour commencer dès 2016 cette dépréciation. L’objectif est de préparer la migration vers des certificats SHA-2, une technologie qualifiée de plus sûre.
Le problème est que cette bascule va empêcher des millions de personnes qui utilisent d’anciennes versions de navigateurs d’accéder aux contenus en HTTPS. Cloudflare, fournisseur de CDN, a estimé que 37 millions de personnes devraient être touchées. Et de pointer certains pays comme la Chine, l’Iran, le Népal, le Vietnam et de nombreux pays africains. Alex Stamos, RSSI de Facebook, estime que même si 98,31% des internautes actuels surfent sur le web avec des navigateurs compatibles SHA-2, la société ne peut pas laisser plusieurs millions de personnes privées de web sécurisé.
D’où l’idée pour Facebook et Cloudflare de mettre en place un scénario alternatif à l’arrêt définitif de SHA-1. Les deux sociétés ont donc proposé au CA/Browser Forum que les sites web s’appuient par défaut sur SHA-2, mais quand les sites détectent que le navigateur est trop ancien, alors ils devraient proposer une version avec SHA-1.
Les développeurs de Facebook ont déjà mis à disposition le code source pour mettre en place cette fonctionnalité sur le plan technique (serveur). Il s’agit d’une solution que le réseau social applique à ses propres services, notamment dans sa volonté d’apporter Internet pour tous. Du côté de Cloudflare, ce repli sur SHA-1 est activable pour l’ensemble de ses clients. Il s’agit d’une option gratuite qui peut être désactivée au bon vouloir des entreprises.
A lire aussi :
SHA-1 : un algorithme clef du chiffrement HTTPS n’est plus sécurisé
Chiffrement : la retraite de SHA-1 va rendre aveugles des millions d’internautes
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…