Microsoft a récemment annoncé que tous ses services passeraient à l’algorithme Secure Hash Algorithm 2 (SHA-2), plus sûr, le mois prochain. En d’autres termes, tous les processus et services Microsoft, y compris les certificats TLS, la signature de code et le hachage de fichiers, s’appuieront exclusivement sur SHA-2 à partir du 9 mai, l’entreprise laissant expirer l’autorité de certification racine de confiance SHA-1.
Secure Hash Algorithm 1 (SHA-1) est une méthode vieille de 25 ans pour générer des hachages à l’aide d’une fonction de chiffrement. Google a réussi à démontrer les faiblesses de l’algorithme en 2017 et les principaux navigateurs ont également commencé à bloquer les sites Web utilisant des certificats SHA-1. De même, Apple a abandonné la prise en charge de cette méthode en 2019.
Bien sûr, il n’est pas difficile de comprendre pourquoi cela se produit. Comme son nom l’indique, SHA-2 est une version améliorée de SHA-1, plus sûre et plus performante. SHA-1 n’étant plus l’algorithme le plus sûr actuellement disponible, le passage à SHA-2 n’était qu’une question de temps.
En fait, le géant du logiciel basé à Redmond utilise déjà le SHA-2 pour plusieurs services essentiels, notamment les mises à jour de Windows, qui sont toutes signées avec cet algorithme à partir de 2019. En outre, le contenu SHA-1 signé Windows a déjà été retiré du centre de téléchargement de Microsoft.
« L’algorithme de hachage SHA-1 est devenu moins sûr au fil du temps en raison des faiblesses découvertes dans l’algorithme, de l’augmentation des performances des processeurs et de l’avènement du cloud computing. Des alternatives plus solides telles que l’algorithme de hachage sécurisé 2 (SHA-2) sont désormais fortement privilégiées, car elles ne connaissent pas les mêmes problèmes », explique Microsoft.
Une transition en douceur
Inutile de dire que Microsoft affirme que la transition est censée être aussi douce que possible, puisqu’elle a déjà effectué une série de tests pour déterminer l’impact qu’elle pourrait avoir sur ses services.
« L’expiration de l’autorité de certification racine de confiance Microsoft SHA-1 aura un impact sur les certificats SHA-1 chaînés à l’autorité de certification racine de confiance Microsoft SHA-1 uniquement. Les certificats SHA-1 installés manuellement par les entreprises ou auto-signés ne seront pas affectés ; cependant, nous encourageons vivement votre organisation à passer à SHA-2 si ce n’est pas déjà fait », indique le site.
Selon le calendrier annoncé, tous les processus et services passeront à SHA-2 le 9 mai 2021 à 16 heures, heure du Pacifique, soit à 1 h, heure française, le 10 mai.
