Selon le National Institute of Standards and Technology (NIST), auteur de l’algorithme, SHA-1 a atteint la fin de sa vie et doit être remplacé par des nouveaux, plus sûrs.
Dans le monde de la protection de l’information, la fonction de hachage cryptographique SHA-1 est une véritable institution. Conçue par la National Security Agency des États-Unis et publiée par le gouvernement américain comme un standard fédéral de traitement de l’information, elle arrive en fin de vie. Selon Kevin Bocek, VP of Security Strategy and Threat Intelligence chez Venafi, “le National Institute of Standards and Technology (NIST) a lancé un dernier avertissement : la technologie SHA-1 qui a fait fonctionner une grande partie d’Internet et qui rend encore possible l’économie numérique aujourd’hui est allée bien au-delà de son échéance et rend toute entreprise qui l’utilise très vulnérable aux attaques. Les empreintes digitales numériques utilisant la technologie du début des années 1990 sont trop vulnérables pour ne pas être brisées.” Pour rappel, le NIST a demandé la suppression de SHA-1 il y a presque 17 ans déjà et, en 2017, les sites Web publics ne pouvaient plus être authentifiés dans les navigateurs Web utilisant des certificats numériques TLS y ayant recours. 2017 est également l’année où des chercheurs de Google démontraient la possibilité de pirater l’algorithme SHA-1 par une attaque de collision. Technique devenue depuis très facile d’accès pour les cybercriminels.
Une complexité de migration décourageante
Mais si les entreprises n’ont pas suivi la recommandation à la lettre, ce n’est pas par laxisme. “Il y a plusieurs raisons pour lesquelles la migration vers une empreinte numérique plus récente et plus sécurisée pour les identités des machines telles que SHA-2 ou SHA-3 est un défi, explique Kevin Bocek. Par exemple, la mise à jour des applications peut exiger beaucoup de temps et de ressources, ce qui nécessite des investissements pour remplacer les systèmes et les processus existants qui dépendent de SHA-1.” Selon lui, les organisations qui disposent de centaines de milliers de machines, en particulier des machines virtuelles, réparties dans une grande variété d’environnements, n’ont pas nécessairement les outils ou la visibilité pour trouver tous les certificats SHA-1 dans leur environnement. La migration vers SHA-2 ou SHA-3 peut donc être complexe. Le corolaire de cela étant que beaucoup d’entreprises continuent de se soustraire à cette migration. C’est pourquoi le NIST se propose d’accompagner les entreprises en difficulté pour les aider à planifier leur action et donc à réduire la complexité. “La meilleure façon d’y parvenir sera d’utiliser un plan de contrôle qui automatise la gestion des identités des machines d’une entreprise, y compris celles utilisant SHA-1. Ce faisant, ils peuvent automatiser le processus de recherche de tous les certificats SHA-1 qui sont en place et de les remplacer. Un risque et un coût qui ne peuvent plus être ignorés », suggère Kevin Bocek.