Chiffrement : Facebook et Cloudflare pour garder SHA-1 en repli

Cloudflare et Facebook veulent garder l’algorithme de hachage SHA-1 perfectible comme solution alternative à la migration vers SHA-2.

Au mois d’octobre dernier, une équipe de chercheurs a jugé que SHA-1, un des principaux algorithmes de cryptage employé sur Internet – notamment pour les connexions HTTPS -, était trop friable à un type d’attaques faciles à mener (via le Cloud) et devait être remplacé.

Face à le menace plus forte, le CA/Browser Forum, une organisation qui regroupe l’industrie logicielle et notamment les éditeurs de navigateurs, a décidé de prendre des décisions plus radicales. Il a proscrit dès 2016 l’émission de nouveaux certificats SHA-1. Mozilla et Microsoft se sont positionnés pour commencer dès 2016 cette dépréciation. L’objectif est de préparer la migration vers des certificats SHA-2, une technologie qualifiée de plus sûre.

Le problème est que cette bascule va empêcher des millions de personnes qui utilisent d’anciennes versions de navigateurs d’accéder aux contenus en HTTPS. Cloudflare, fournisseur de CDN, a estimé que 37 millions de personnes devraient être touchées. Et de pointer certains pays comme la Chine, l’Iran, le Népal, le Vietnam et de nombreux pays africains. Alex Stamos, RSSI de Facebook, estime que même si 98,31% des internautes actuels surfent sur le web avec des navigateurs compatibles SHA-2, la société ne peut pas laisser plusieurs millions de personnes privées de web sécurisé.

SHA-1 en solution de repli

D’où l’idée pour Facebook et Cloudflare de mettre en place un scénario alternatif à l’arrêt définitif de SHA-1. Les deux sociétés ont donc proposé au CA/Browser Forum que les sites web s’appuient par défaut sur SHA-2, mais quand les sites détectent que le navigateur est trop ancien, alors ils devraient proposer une version avec SHA-1.

Les développeurs de Facebook ont déjà mis à disposition le code source pour mettre en place cette fonctionnalité sur le plan technique (serveur). Il s’agit d’une solution que le réseau social applique à ses propres services, notamment dans sa volonté d’apporter Internet pour tous. Du côté de Cloudflare, ce repli sur SHA-1 est activable pour l’ensemble de ses clients. Il s’agit d’une option gratuite qui peut être désactivée au bon vouloir des entreprises.

A lire aussi :

SHA-1 : un algorithme clef du chiffrement HTTPS n’est plus sécurisé
Chiffrement : la retraite de SHA-1 va rendre aveugles des millions d’internautes

Pavel Ignatov – Schuttersock