Au mois d’octobre dernier, une équipe de chercheurs a jugé que SHA-1, un des principaux algorithmes de cryptage employé sur Internet – notamment pour les connexions HTTPS -, était trop friable à un type d’attaques faciles à mener (via le Cloud) et devait être remplacé.
Face à le menace plus forte, le CA/Browser Forum, une organisation qui regroupe l’industrie logicielle et notamment les éditeurs de navigateurs, a décidé de prendre des décisions plus radicales. Il a proscrit dès 2016 l’émission de nouveaux certificats SHA-1. Mozilla et Microsoft se sont positionnés pour commencer dès 2016 cette dépréciation. L’objectif est de préparer la migration vers des certificats SHA-2, une technologie qualifiée de plus sûre.
Le problème est que cette bascule va empêcher des millions de personnes qui utilisent d’anciennes versions de navigateurs d’accéder aux contenus en HTTPS. Cloudflare, fournisseur de CDN, a estimé que 37 millions de personnes devraient être touchées. Et de pointer certains pays comme la Chine, l’Iran, le Népal, le Vietnam et de nombreux pays africains. Alex Stamos, RSSI de Facebook, estime que même si 98,31% des internautes actuels surfent sur le web avec des navigateurs compatibles SHA-2, la société ne peut pas laisser plusieurs millions de personnes privées de web sécurisé.
D’où l’idée pour Facebook et Cloudflare de mettre en place un scénario alternatif à l’arrêt définitif de SHA-1. Les deux sociétés ont donc proposé au CA/Browser Forum que les sites web s’appuient par défaut sur SHA-2, mais quand les sites détectent que le navigateur est trop ancien, alors ils devraient proposer une version avec SHA-1.
Les développeurs de Facebook ont déjà mis à disposition le code source pour mettre en place cette fonctionnalité sur le plan technique (serveur). Il s’agit d’une solution que le réseau social applique à ses propres services, notamment dans sa volonté d’apporter Internet pour tous. Du côté de Cloudflare, ce repli sur SHA-1 est activable pour l’ensemble de ses clients. Il s’agit d’une option gratuite qui peut être désactivée au bon vouloir des entreprises.
A lire aussi :
SHA-1 : un algorithme clef du chiffrement HTTPS n’est plus sécurisé
Chiffrement : la retraite de SHA-1 va rendre aveugles des millions d’internautes
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…