Infos

Microsoft étend la prise en charge de SHA-2 et TLS dans Windows

Les sociétés technologiques abandonnent les unes après les autres l’algorithme de chiffrement SHA-1 car il n’est pas fiable et est exposé aux collisions.

Microsoft, une des premières sociétés à avoir mené ses clients vers l’abandon de SHA-1, a décidé que ses développeurs n’utiliseront plus SHA-1 pour la signature du code ou des certificats après janvier 2016.

Parmi ces bulletins de sécurité et ses correctifs du mardi, Microsoft a franchi une autre étape en diffusant deux notifications. La première signale aux utilisateurs que Microsoft propose l’algorithme SHA-2 pour Windows 7 et Windows Server 2008 R2. La deuxième signale la mise à jour d’EAP qui inclut l’utilisation de Transport Layer Security (TLS) 1.1 ou 1.2.

Les collisions de SHA-1 n’ont été pendant de longues années que des possibilités théoriques : une collision se produit lorsqu’un individu malintentionné parvient à créer un certificat portant la même signature que le certificat original. Bien que la possibilité mathématique existe, l’exécution d’une attaque par collision, même contre l’algorithme faible SHA-1, requiert d’importantes ressources matérielles.

Mais ce fossé se comble. En 2012, Bruce Schneider publiait une enquête dans laquelle il affirmait que les collisions seraient à la portée de la majorité des pirates à partir de 2018. D’après les calculs de Jes Walker, qui reposent sur le coût des microprocesseurs et sur l’hypothèse que la loi de Moore se vérifiera toujours au cours des 10 prochaines années, Amazon dépensera pour un serveur près de 173 000 dollars, ce qui est une somme accessible pour un individu malintentionné qui bénéficie de l’appui d’un groupe criminel ou d’un organisme d’Etat.

En utilisant de faux certificats, l’individu malintentionné avancé peut se faire passer pour Microsoft, Google ou n’importe quel site de son choix, ce qui menace le trafic Internet. Google et Mozilla ont également dévoilé leur feuille de route pour l’abandon de SHA-1. A partir de la nouvelle version de Chrome prévue pour novembre, le navigateur de Google ne considèrera plus les sites dont la chaîne de certificats est signée par SHA-1 comme des sites de confiance. De son côté, Mozilla a demandé aux centres de certification et aux sites Internetš d’adopter des versions plus robustes de l’algorithme de chiffrement et a annoncé que les certificats signés par SHA-1 ne seraient plus considérés comme des certificats de confiance à partir du 1er janvier 2017.

En décidant d’étendre SHA-2 à Windows 7, Microsoft allonge la liste des versions de Windows qui prennent déjà en charge cet algorithme. Il s’agit de Windows 8 et 8.1, de Windows Server 2012 et 2012 R2 et de Windows RT et RT 8.1. Comme l’a indiqué Microsoft, Windows 8 et les versions plus récentes prennent cet algorithme en charge par défaut et ne doivent pas être mises à jour. Microsoft ajoute également qu’aucune mise à jour n’a été publiée pour Windows Server 2003, Windows Vista et Windows Server 2008.

La décision d’activer TLS pour EAP s’inscrit dans la stratégie de Microsoft de passage à des services de chiffrement Web. Microsoft signalait en juillet que son service de messagerie en ligne Outlook.com prenait en charge le chiffrement TLS pour le courrier entrant et sortant en plus de la confidentialité persistante (Perfect Forward Secrecy ou PFS) Le stockage dans le Cloud OneDrive est également compatible avec la confidentialité persistante depuis juillet d’après Microsoft. PFS crée une clé de chiffrement fermée aléatoire, ce qui empêche le déchiffrement d’anciens messages si un individu parvenait à compromettre la clé.

EAP (Extensible Authentication Protocol, protocole d’authentification étendu) est utilisé dans les clients et les serveurs Windows. Selon les déclarations de Microsoft, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 et Windows RT seront compatibles avec TLS via une simple modification du registre après la mise à jour. Un pirate capable d’exploiter une version antérieure de TLS peut réaliser une attaque de type "homme au milieu", intercepter le trafic et voler les informations en clair depuis une session protégée.

Source :        Threatpost
Lien :        Threatpost

Microsoft étend la prise en charge de SHA-2 et TLS dans Windows

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception