L’algorithme SHA-1 pose problème à Firefox, obligé de l’autoriser à nouveau après avoir tenté de le bloquer.
Après avoir partiellement bloqué les certificats de sécurité HTTPS basés sur SHA-1 sur Firefox le 15 décembre dernier, la fondation Mozilla a été contrainte de faire machine arrière en autorisant à nouveau ce type de certificat dans sa mise à jour 43.0.4. Pour rappel, SHA-1 est un algorithme de chiffrement dont la faiblesse a été démontrée depuis quelques années déjà. Un retour en arrière qui va donc dans le sens contraire de la sécurité des données sur le Net.
La raison du retour de SHA-1 sur le navigateur open source tient dans le fait qu’il était impossible pour certains utilisateurs dont la connexion passait par un proxy SSL de se connecter à Internet. La raison ? Ces proxy SSL, mis en œuvre en entreprise, mais également dans des produits de sécurité destinés au grand public, utilisent parfois des certificats de chiffrement basés sur SHA-1. Firefox avait pour but de bloquer totalement SHA-1 d’ici le 1er janvier 2017. Mozilla souhaite toujours abandonner progressivement cet algorithme cryptographique dont la sécurité est compromise, mais la fondation va devoir attendre un premier pas de la part des éditeurs de proxy SSL pour cela.
L’algorithme est également très présent en Asie et en Afrique, où de nombreux terminaux anciens incompatibles avec son successeur SHA-2 y ont toujours recours. SHA-2 n’est pas supporté par plus de 6 % des internautes chinois notamment, ce qui pousse des géants du Web tels que Facebook, CloudeFlare ou encore Twitter à continuer de supporter SHA-1, malgré que ce dernier soit aujourd’hui facilement cassable avec du matériel à la portée de l’utilisateur lambda. Il semble donc que cet algorithme obsolète fera encore partie du paysage du Net durant un bon moment…
PHOTO : © ISTOCK.
Ajouter un commentaire