Facebook avertit sur l'expiration de l'algorithme de sécurité des navigateurs web

Devriez-vous tenir compte de l’avertissement de Facebook ou non ?

Si un réseau social, qui détient les données de millions d’utilisateurs sur ses serveurs, dit qu’un algorithme de sécurité critique des navigateurs web est sur le point d’atteindre sa date d’expiration, cela signifie évidemment que les choses doivent devenir sérieuses. Selon Facebook, les utilisateurs qui n’ont pas encore mis à jour la sécurité de leurs navigateurs devraient agir rapidement. La société déclare que durant l’année 2016, un certain nombre de navigateurs web majeurs cesseront de prendre en charge un algorithme de sécurité clé appelé SHA-1.

SHA-2 va succéder à SHA-1, cependant, il ne sera pas pris en charge sur les anciens navigateurs web. Cela devrait vous alarmer plus que cela n’en a l’air car lorsque SHA-1 sera hors service, il y aura un moment où les utilisateurs ne pourront pas mettre à jour leurs navigateurs web vers des versions plus récentes parce que leurs machines de bureau, ordinateurs portables ou mobiles ne pourront pas prendre en charge le dernier logiciel.

Alex Stamos, responsable de la sécurité chez Facebook, est assez préoccupé par la question car selon une source, il déclare ce qui suit :

« Un nombre disproportionné de ces personnes résident dans des pays en développement, et le résultat probable dans ces pays sera un sérieux recul dans le déploiement de HTTPS par les gouvernements, les entreprises et les ONG qui souhaitent atteindre leurs populations cibles. »

Facebook a prédit que dans un avenir proche, entre 3 et 7 pour cent de tous les navigateurs web seront trop obsolètes pour utiliser SHA-2. SHA-1 offre plusieurs mesures de sécurité par rapport à son prédécesseur. Cependant, SHA-1 est omniprésent dans les pays en développement et dans les pays du tiers monde, où les individus ont peu ou pas de connaissances sur la sécurité web. Des données statistiques supplémentaires suggèrent que SHA-2 est pris en charge par au moins 98,31 pour cent des navigateurs dans le monde, et les 1,69 pour cent restants représentent environ 37 millions de personnes.

Selon les calculs de CloudFlare, il coûterait environ 700 000 dollars aujourd’hui de continuer à générer des collisions SHA-1. Cependant, lorsque la date limite atteindra 2021, le chiffre des dépenses serait tombé à environ 43 000 dollars puisque de plus en plus de régions auraient commencé à adopter la mesure de sécurité SHA-2. Espérons que Facebook et CloudFlare seront en mesure de lancer une campagne efficace dans laquelle ils pourront transmettre avec succès le message au public que SHA-1 va bientôt être hors service.