Microsoft pour supprimer tous les téléchargements Windows signés avec SHA-1 la semaine prochaine
Microsoft a annoncé cette semaine qu’il supprime tous les téléchargements Windows du Centre de téléchargement Microsoft qui sont cryptographiquement signés en utilisant des certificats SHA-1 le 3 août 2020. L’algorithme SHA-1 a été fréquemment utilisé pour les exécutables de code-signe et les certificats TLS et SSL utilisés sur les domaines Web pour authentifier la légitimité d’un éditeur.
Les analystes de la sécurité ont publié un rapport en 2015, décrivant comment SHA-1 est exposé à des attaques de collision en raison de laquelle, les attaquants pourraient créer des copies de certificats numériques pour imiter une entreprise ou un autre site Web. Ces copies peuvent ensuite être utilisées dans des attaques de phishing, pour usurper des entreprises ou dans des attaques man-in-the-middle pour écouter sur les sessions réseau cryptées. En raison des problèmes avec les certificats SHA-1, Microsoft et d’autres créateurs ont été s’éloigner des certificats SHA-1 et nécessitant SHA-2 pour être utilisé pour installer des mises à jour Windows.
Microsoft a déclaré dans un nouveau bulletin de support publié hier, qu’ils retirent tout le contenu Windows signé avec l’algorithme de hachage sécurisé 1 (SHA-1) du Centre de téléchargement Microsoft à la sécurité de la recrudescence.
“Pour prendre en charge le développement des normes de sécurité de l’industrie, et continuer à vous protéger et à agir, Microsoft laissera le contenu signé par Windows pour Secure Hash Algorithm 1 (SHA-1) du Centre de téléchargement Microsoft le 3 août 2020. Il s’agit de la prochaine étape de nos efforts constants pour approuver Secure Hash Algorithm 2 (SHA-2), qui répond mieux aux exigences de sécurité modernes et offre des protections supplémentaires contre les vecteurs d’attaque communs. »
“SHA-1 est un hachage cryptographique hérité que beaucoup dans la communauté de sécurité croient n’est plus sécurisé. L’utilisation de l’algorithme de hachage SHA-1 dans les certificats numériques peut permettre à un criminel d’usurper du contenu, d’exécuter des attaques de phishing ou d’effectuer des attaques man-in-the-middle ». “Microsoft n’utilise plus SHA-1 pour vérifier les mises à jour du système d’exploitation Windows en raison de problèmes de sécurité liés à l’algorithme, et a fourni les mises à jour appropriées pour déplacer les clients vers SHA-2 comme annoncé précédemment. En conséquence, à partir d’août 2019, les appareils sans prise en charge SHA-2 n’ont pas reçu de mises à jour Windows.
Même si Microsoft prend en charge uniquement le contenu signé SHA-2 pour le contenu officiel, les exécutables Windows signés avec SHA-1 peuvent toujours s’exécuter dans le système d’exploitation. S’il existe d’anciens fichiers signés SHA-1 sur le Centre de téléchargement Microsoft que vous utilisez toujours régulièrement, avant que Microsoft ne les supprime le 3 août, vous devez les télécharger.