Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google, Microsoft et Mozilla bloqueront les certificats SHA-1 en début d'année prochaine

Un peu en janvier, un peu en février
Logiciel 4 min
Google, Microsoft et Mozilla bloqueront les certificats SHA-1 en début d'année prochaine
Crédits : Vertigo3d/iStock

La plupart des éditeurs de navigateurs ont décidé d’arrêter le support de l’algorithme de hachage SHA-1 au cours de l’année prochaine. Chez Microsoft, le blocage commencera en février prochain, pour Edge et Internet Explorer 11. Il y aura cependant des exceptions.

SHA-1 est un protocole de hachage cryptographique qui a été longtemps utilisé, notamment pour les certificats numériques de sécurité. Créé initialement par la NSA, il est depuis des années considéré comme manquant de résistance face à des attaques soutenues par des moyens importants. Il est largement dépassé par SHA-2 et 3.

À l’heure actuelle, il est toujours supporté par les navigateurs, qui acceptent de négocier des connexions sécurisées (HTTPS) avec les sites présentant de tels certificats. La situation va cependant commencer à évoluer dans les prochains mois, puisque Google, Microsoft et Mozilla notamment se sont mis d’accord pour arrêter ce support en 2017.

Microsoft : blocage non absolu des sites web

Chez Microsoft, on connait désormais le plan de bataille. À compter du 14 février prochain, Edge et Internet Explorer 11 ne négocieront plus les connexions sécurisées si les certificats TLS rencontrés sont de type SHA-1. Ce blocage n’est cependant pas définitif : si l’utilisateur décide qu’il peut sans risque se rendre sur ces sites – par exemple parce qu’il n’y connecte et n’y achète rien – il peut outrepasser l’erreur « Certificat invalide », même si ce choix n’est pas recommandé.

Voilà pour le principe général. Cependant, il y a un certain nombre de précisions à apporter. La plus importante est que ce blocage ne concerne que les certificats SHA-1 liés aux certificats racine auxquels Microsoft fait confiance. Conséquence, tous ceux qui ont été auto-signés ou installés manuellement dans les entreprises ne sont pas concernés. Les certificats auto-signés représentent un danger, mais Microsoft ne veut pas casser complètement la compatibilité en entreprise, où sa présence est très forte.

D’autre part, les mises à jour déployées dans le Patch Tuesday de novembre contiennent les éléments nécessaires aux tests que peuvent réaliser les entreprises et développeurs pour vérifier le comportement de leurs certificats. Microsoft a mis en place des instructions dans la FAQ de son annonce.

edge certificat sha-1

Vieux navigateurs, authentification des clients, applications...

Il faut encore ajouter que ces blocages ne concernent qu’Edge et Internet Explorer 11, et aucune autre version du navigateur. Ceux qui sont encore sur un vieux système, comme Windows XP ou Vista, ne sont donc pas concernés par cette mesure. Le choix peut se comprendre pour le bien vieux XP, mais moins pour Vista, qui est toujours en phase de support étendu et soumis aux mêmes menaces au sens large. Windows 7 et 8.1 peuvent tous les deux installer Internet Explorer 11, Edge étant réservé à Windows 10.

Enfin, quelques autres utilisations de certificats SHA-1 ne sont pas non plus concernées. Par exemple, les authentifications de machines dans les réseaux continueront de fonctionner. Là encore, les entreprises auraient eu moins de trois mois pour réagir sur un point aussi crucial. Au niveau du système d’exploitation lui-même, les applications se servant des API de cryptographie Windows ne seront pas non plus concernées.

La liste des éléments bloqués et laissés tranquilles sera en fait intégrée dans une mise à jour. Le 14 février correspond en effet au deuxième mardi de ce mois, donc du Patch Tuesday. Ce changement sera répercuté sur tous les Windows depuis la version 7.

Google et Mozilla : même combat, mêmes décisions

Notez que ce changement est la conséquence d’une concertation entre les trois principaux éditeurs de navigateurs. Google a annoncé il y a une semaine que le support de SHA-1 s’arrêterait avec Chrome 56, avec le même fonctionnement que pour Microsoft : blocage des sites, possibilité d’outrepasser l’avertissement, et pour les entreprises de garder leurs certificats auto-signés. À l’exception que la règle de Chrome autorisant ce support sera supprimée le 1er janvier 2019, un temps que Google estime raisonnable pour se préparer à l’abandon définitif du vieux protocole.

Mozilla sera cependant le premier à bloquer ces certificats, puisque c’est Firefox 51 qui s’en chargera. La mouture 50 était à peine sortie, le prochain Firefox arrivera début janvier. Là encore, les conditions sont exactement les mêmes, une souplesse globale qui répond sans doute d’un comportement défini durant les négociations entre les trois éditeurs. Selon Mozilla, cet arrêt devrait être assez transparent pour l’utilisateur, SHA-1 n’étant plus utilisé que par 0,8 % des sites (chiffre de mai 2016).

12 commentaires
Avatar de jinge INpactien
Avatar de jingejinge- 21/11/16 à 14:28:48

Signaler ce commentaire aux modérateurs :

Pourquoi bloquer et non pas juste considérer comme un site non sécurisé?

Avatar de jinge INpactien
Avatar de jingejinge- 21/11/16 à 14:29:00

Signaler ce commentaire aux modérateurs :

Un soucis avec les commentaires?

Avatar de Z-os Abonné
Avatar de Z-osZ-os- 21/11/16 à 14:34:57

Signaler ce commentaire aux modérateurs :

Je suis d'accord, retirer le petit cadenas serait plus efficace côté utilisateur.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 21/11/16 à 14:35:22

Signaler ce commentaire aux modérateurs :

Pas trop tôt

Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 21/11/16 à 14:52:50

Signaler ce commentaire aux modérateurs :

Au niveau du système d’exploitation lui-même, les applications se servant des API de cryptographie Windows ne seront pas non plus concernées.

Oui enfin si on considère que la reconnaissance des signatures numériques par le noyau n'est pas un problème d'API...
Vista oblige l'utilisation de SHA-1 pour les pilotes, lequel n'est plus autorisé sur Windows 10.

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 21/11/16 à 14:59:48

Signaler ce commentaire aux modérateurs :

Car les éditeurs de navigateurs web n'obtiendraient pas l'effet espéré: faire changer les mauvaise pratiques dans la gestion des certificats et l'utilisation de technique de hashage plus efficientes. Cela fait depuis 2015 qu'ils ont prévenus du retrait de SHA1. On avait eu un processus similaire pour RC4.

Avatar de nekogami INpactien
Avatar de nekogaminekogami- 21/11/16 à 15:09:01

Signaler ce commentaire aux modérateurs :

Je sais franchement pas si l'utilisateur non technique fait la différence entre les 2.

Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 21/11/16 à 15:45:53

Signaler ce commentaire aux modérateurs :

internet is made of sha ...

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 21/11/16 à 16:49:49

Signaler ce commentaire aux modérateurs :

picatrix a écrit :

internet is made of sha ...

Avatar de Exagone313 Abonné
Avatar de Exagone313Exagone313- 21/11/16 à 17:25:37

Signaler ce commentaire aux modérateurs :

On devrait aussi bloquer les connexions HTTP en clair, et créer une diversification des moyens de faire autorité sur une connexion chiffrée pour éviter la centralisation qui impose une dépendance supplémentaire au web (ou Internet plus généralement).
Parce que là, pour chiffrer une connexion (publique, donc sans avoir transmis de certificat de manière privée), on doit faire confiance aux DNS + autorités, ça fait un peu trop, un champ DNS (qui existe déjà comme sécurité supplémentaire) et qui inclurait les données des certificats du domaine me semble suffisant (mais je ne suis pas expert en sécurité, donc il doit y avoir des problèmes que je ne connais pas).
(Il est difficile de faire autorité sur une adresse IP aujourd'hui.)

Édité par Exagone313 le 21/11/2016 à 17:29
Il n'est plus possible de commenter cette actualité.
Page 1 / 2