Les navigateurs Web les plus populaires vont petit à petit abandonner le SHA-1, l’algorithme de hachage pour sécuriser les données, et commenceront bientôt à bloquer les sites qui l’utilisent.
Dans un article de blog, Microsoft a déclaré que l’algorithme n’était plus sûr, et a permis aux hackers de prendre la main sur certains sites, d’effectuer des attaques de phishing, ou des attaques man-in-the-middle — de l’homme du milieu (HDM). À partir du 14 février 2017, Microsoft Edge et Internet Explorer 11 ne vont plus automatiquement charger un site qui utilise l’algorithme SHA-1. À contrario, ils affichent un message d’avertissement à l’utilisateur sur ce certificat non valide avant d’aller plus loin. « Microsoft, en collaboration avec d’autres membres de l’industrie, travaille pour éradiquer le SHA-1 », a déclaré la firme de Redmond. Les propriétaires de sites ont été invités à mettre à jour leurs certificats ASAP.
Les nouvelles viennent quelques jours après que Google a fait une annonce similaire, expliquant que Chrome 56 ne supporte pas l’obsolète algorithme de hachage. Chrome 56 est pressenti pour la fin du mois de janvier, mais Google avait déjà décrit ces plans il y a presque un an. De même, Mozilla Firefox va commencer à abandonner le support pour le SHA-1. Vous l’aurez compris, attendez-vous à ce que tous les principaux navigateurs abandonnent l’algorithme SHA-1 au printemps 2017.
Des algorithmes de hachage dépassés
Ce choix de la part des développeurs de navigateur n’est pas étonnant, puisque les algorithmes de hachage sont généralement dépassés du fait de la montée en puissance du traitement mathématique et de l’informatique.
Auparavant, l’algorithme MD5 était l’algorithme de hachage par défaut, jusqu’à ce qu’il soit remplacé par le SHA-1 en tant que norme. Mais, comme Google l’a noté dans sa publication, le SHA-1 « a montré des signes de faiblesse il y a plus de onze ans ». « Les entreprises sont encouragées à faire des efforts pour cesser d’utiliser les certificats SHA-1 dès que possible et de consulter leur équipe de sécurité avant d’activer la politique », a déclaré Andrew Whalley de l’équipe de sécurité de Google Chrome.
De récents hacks et des violations de données ont montré comment certaines entreprises sont encore à sécuriser des données avec l’algorithme SHA-1 et dans certains cas même MD5… Et vous, où en êtes-vous dans la sécurité de vos données ?