Google est en train d’organiser le retrait des certificats vulnérables dans Chrome, son navigateur web. Ce retrait se fera en deux temps.

Si vous utilisez Chrome comme navigateur web, sachez que des avertissements pourront apparaître à partir du 1er janvier 2016 si vous tentez de vous connecter à un site au moyen d’une connexion sécurisée. En effet, Google prévoit de retirer certains certificats qui permettent d’établir une liaison sûre entre votre ordinateur et le service auquel vous voulez accéder, au motif qu’ils ne sont plus assez fiables.

Les certificats dont il est question sont basés sur l’algorithme SHA-1, qui est une fonction de hachage cryptographique très courante sur Internet. Or, des travaux de recherche récents ont montré que la puissance de calcul actuellement disponible est suffisante pour casser SHA-1 dans un temps et à un prix relativement limités. Et cela ne va évidemment pas aller en s’arrangeant avec les progrès en informatique.

SHA-1

Un exemple de message.

En conséquence, Google prévoit d’écarter les certificats basés sur SHA-1 à partir du Nouvel An, en suivant plusieurs étapes. Il est d’abord prévu d’afficher un message de mise en garde dans Chrome 48 (et dans les versions ultérieures) pour tous les nouveaux certificats signés avec SHA-1, si ceux-ci ont été émis à partir du 1er janvier 2016. Google estime que les usagers confrontés à ces avertissements seront peu nombreux.

Ensuite, ce sont tous les certificats SHA-1 qui seront bloqués dans Chrome. Cette mesure prendra effet le 1er juillet 2016. Il était d’abord prévu de garder la date du 1er janvier 2017, mais les observations sur la fragilité de SHA-1 ont convaincu Google de presser le pas et de se débarrasser plus rapidement de cet algorithme. Google se laisse toutefois une marge de manœuvre s’il faut éventuellement revenir à l’ancienne date.

Google rappelle que Microsoft et Mozilla prévoient aussi d’éjecter les certificats SHA-1. Les trois sociétés s’étaient d’ailleurs déjà organisées pour annoncer l’abandon de l’algorithme de chiffrement RC4, au motif que celui-ci peut maintenant être cassé en quelques heures ou jours grâce à la sophistication de certaines attaques informatiques.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !