Google est en train d'organiser le retrait des certificats vulnérables dans Chrome, son navigateur web. Ce retrait se fera en deux temps.

Si vous utilisez Chrome comme navigateur web, sachez que des avertissements pourront apparaître à partir du 1er janvier 2016 si vous tentez de vous connecter à un site au moyen d’une connexion sécurisée. En effet, Google prévoit de retirer certains certificats qui permettent d’établir une liaison sûre entre votre ordinateur et le service auquel vous voulez accéder, au motif qu’ils ne sont plus assez fiables.

Les certificats dont il est question sont basés sur l’algorithme SHA-1, qui est une fonction de hachage cryptographique très courante sur Internet. Or, des travaux de recherche récents ont montré que la puissance de calcul actuellement disponible est suffisante pour casser SHA-1 dans un temps et à un prix relativement limités. Et cela ne va évidemment pas aller en s’arrangeant avec les progrès en informatique.

SHA-1
Un exemple de message.

En conséquence, Google prévoit d’écarter les certificats basés sur SHA-1 à partir du Nouvel An, en suivant plusieurs étapes. Il est d’abord prévu d’afficher un message de mise en garde dans Chrome 48 (et dans les versions ultérieures) pour tous les nouveaux certificats signés avec SHA-1, si ceux-ci ont été émis à partir du 1er janvier 2016. Google estime que les usagers confrontés à ces avertissements seront peu nombreux.

Ensuite, ce sont tous les certificats SHA-1 qui seront bloqués dans Chrome. Cette mesure prendra effet le 1er juillet 2016. Il était d’abord prévu de garder la date du 1er janvier 2017, mais les observations sur la fragilité de SHA-1 ont convaincu Google de presser le pas et de se débarrasser plus rapidement de cet algorithme. Google se laisse toutefois une marge de manœuvre s’il faut éventuellement revenir à l’ancienne date.

Google rappelle que Microsoft et Mozilla prévoient aussi d’éjecter les certificats SHA-1. Les trois sociétés s’étaient d’ailleurs déjà organisées pour annoncer l’abandon de l’algorithme de chiffrement RC4, au motif que celui-ci peut maintenant être cassé en quelques heures ou jours grâce à la sophistication de certaines attaques informatiques.

Partager sur les réseaux sociaux

Articles liés