Microsoft a annoncé cette semaine son intention de supprimer tous les téléchargements de fichiers liés à Windows du centre de téléchargement de Microsoft qui sont signés de manière cryptographique avec l'algorithme de hachage sécurisé Secure Hash Algorithm 1 (SHA-1).
La société a précisé ce mardi que les fichiers seront retirés lundi prochain, le 3 août. Elle explique cette décision par le manque de sécurité de l'algorithme SHA-1 : « SHA-1 est un hachage cryptographique historique que beaucoup dans la communauté de la sécurité considèrent comme n'étant plus sûr. L'utilisation de l'algorithme de hachage SHA-1 dans les certificats numériques pourrait permettre à un attaquant de voler du contenu, d'effectuer des attaques de phishing ou des attaques de type "man-in-the-middle" ».
SHA-1, en panne depuis 2016
La plupart des entreprises de logiciels ont commencé à abandonner l'algorithme SHA-1 après qu'une équipe d'universitaires a brisé la fonction de hachage de SHA-1 (du moins en théorie) en février 2016.
L'algorithme a été brisé lors d'une attaque réelle en février 2017, lorsque les cryptographes de Google ont mis sur la place publique SHAttered, une technique pouvant faire apparaître deux fichiers différents alors qu'ils ont la même signature de fichier SHA-1.
A l'époque, la création d'une telle opération était considérée comme très coûteuse, et les experts de Google pensaient que le SHA-1 pouvait encore être utilisé en pratique pendant au moins une demi-décennie, jusqu'à ce que le coût diminue. Cependant, des recherches ultérieures publiées en mai 2019 et en janvier 2020 ont détaillé une méthodologie actualisée visant à réduire le coût d'une attaque de ce type sur SHA-1, à moins de 110 000 dollars, puis à moins de 50 000 dollars.
Depuis 2016, les fabricants de logiciels ont abandonné SHA-1, principalement pour SHA-2. Google a supprimé le support de SHA-1 sur Chrome avec la sortie de Chrome 56, fin janvier 2017 ; Firefox a supprimé le support de SHA-1 dans Firefox 51, également sorti fin janvier 2017 ; et Microsoft a supprimé le support de SHA-1 dans Edge et Internet Explorer à la mi-2017.
, et OpenSSH a annoncé son intention de retirer SHA-1 de son processus de connexion en début d'année.
Microsoft, depuis août 2019, n'utilise plus SHA-1 pour signer et authentifier les mises à jour du système d'exploitation Windows. Et Microsoft remplace graduellement SHA-1 par SHA-2 dans tous ses produits.
Cependant, le géant technologique n'a pas précisé si les fichiers liés à Windows qui seront supprimés de son centre de téléchargement lundi seront remplacés par de nouveaux liens de téléchargement signés avec SHA-2. De quoi se demander donc s'il sera toujours possible de télécharger certains des anciens outils de Microsoft.
Source :
Aucun commentaire:
Enregistrer un commentaire