Au mois d’octobre dernier, une équipe de chercheurs a jugé que SHA-1, un des principaux algorithmes de cryptage employé sur Internet – notamment pour les connexions HTTPS -, était trop friable à un type d’attaques faciles à mener (via le Cloud) et devait être remplacé.
Face à le menace plus forte, le CA/Browser Forum, une organisation qui regroupe l’industrie logicielle et notamment les éditeurs de navigateurs, a décidé de prendre des décisions plus radicales. Il a proscrit dès 2016 l’émission de nouveaux certificats SHA-1. Mozilla et Microsoft se sont positionnés pour commencer dès 2016 cette dépréciation. L’objectif est de préparer la migration vers des certificats SHA-2, une technologie qualifiée de plus sûre.
Le problème est que cette bascule va empêcher des millions de personnes qui utilisent d’anciennes versions de navigateurs d’accéder aux contenus en HTTPS. Cloudflare, fournisseur de CDN, a estimé que 37 millions de personnes devraient être touchées. Et de pointer certains pays comme la Chine, l’Iran, le Népal, le Vietnam et de nombreux pays africains. Alex Stamos, RSSI de Facebook, estime que même si 98,31% des internautes actuels surfent sur le web avec des navigateurs compatibles SHA-2, la société ne peut pas laisser plusieurs millions de personnes privées de web sécurisé.
D’où l’idée pour Facebook et Cloudflare de mettre en place un scénario alternatif à l’arrêt définitif de SHA-1. Les deux sociétés ont donc proposé au CA/Browser Forum que les sites web s’appuient par défaut sur SHA-2, mais quand les sites détectent que le navigateur est trop ancien, alors ils devraient proposer une version avec SHA-1.
Les développeurs de Facebook ont déjà mis à disposition le code source pour mettre en place cette fonctionnalité sur le plan technique (serveur). Il s’agit d’une solution que le réseau social applique à ses propres services, notamment dans sa volonté d’apporter Internet pour tous. Du côté de Cloudflare, ce repli sur SHA-1 est activable pour l’ensemble de ses clients. Il s’agit d’une option gratuite qui peut être désactivée au bon vouloir des entreprises.
A lire aussi :
SHA-1 : un algorithme clef du chiffrement HTTPS n’est plus sécurisé
Chiffrement : la retraite de SHA-1 va rendre aveugles des millions d’internautes
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…