« Le National Institute of Standards and Technology (NIST) lance un dernier avertissement : la technologie SHA-1 qui a fait fonctionner une grande partie d’Internet et qui rend encore possible l’économie numérique aujourd’hui est allée bien au-delà de son échéance et rend toute entreprise qui l’utilise très vulnérable aux attaques. Les empreintes digitales numériques utilisant la technologie du début des années 1990 sont trop vulnérables pour être brisées. Les PDG pourraient imaginer utiliser un ordinateur portable, un téléphone mobile, une caisse enregistreuse ou une fourgonnette de 1993, mais une trop grande partie du monde dépend des empreintes digitales SHA-1 ; c’est un rêve de pirate informatique, en particulier ceux des États-nations qui élargissent de plus en plus leurs cibles.

On sait depuis des années que l’algorithme SHA-1 est vulnérable à certains types d’attaques. En 2017, des chercheurs de Google [linkedin.com] ont démontré que l’algorithme SHA-1 pouvait être piraté par une attaque de collision – une technique qui est devenue de plus en plus abordable pour les cybercriminels depuis. Le NIST a appelé à l’élimination de SHA-1 il y a presque 17 ans et en 2017 les sites Web publics ne pouvaient plus être authentifiés dans les navigateurs Web utilisant des certificats numériques TLS utilisant la technologie SHA-1. Mais, à l’intérieur des entreprises la menace cachée n’a pas disparu.

Il y a plusieurs raisons pour lesquelles la migration vers une empreinte numérique plus récente et plus sécurisée pour les identités des machines telles que SHA-2 ou SHA-3 est un défi. Par exemple, la mise à jour des applications peut exiger beaucoup de temps et de ressources, ce qui nécessite des investissements pour remplacer les systèmes et les processus existants qui dépendent de SHA-1. Avec une organisation mondiale typique qui dispose de centaines de milliers de machines, en particulier des machines virtuelles, réparties dans une grande variété d’environnements, la plupart des organisations n’ont pas les outils ou la visibilité pour trouver tous les certificats SHA-1 dans leur environnement. Cela signifie que la migration vers SHA-2 ou SHA-3 peut être complexe et, par conséquent, les entreprises éviteront la migration en raison de la perturbation.

Le NIST prévoyant une date limite pour l’élimination progressive de l’utilisation de SHA-1, donnera aux entreprises qui ont fait l’autruche un coup de pouce dans la bonne direction pour commencer à planifier leur action afin de minimiser les défis potentiels en cours de route. La meilleure façon d’y parvenir sera d’utiliser un plan de contrôle qui automatise la gestion des identités des machines d’une entreprise, y compris celles utilisant SHA-1. Ce faisant, ils peuvent automatiser le processus de recherche de tous les certificats SHA-1 qui sont en place et de les remplacer. C’est un risque et un coût qui ne peuvent plus être ignorés. »