La fin du SHA-1 va exclure de nombreux utilisateurs dans les pays pauvres


  • FrançaisFrançais

  • Google va arrêter de supporter la norme de chiffrement SHA-1 en 2016. Son navigateur bloquera les sites qui utilisent le SHA-1. C’est une bonne nouvelle pour la sécurité, mais cela va aussi exclure de nombreux utilisateurs dans les pays pauvres. Dans ces pays, les anciens appareils sont la norme et ces utilisateurs ne migreront sans doute pas vers de nouveaux appareils à cause du manque de moyens.


    Les habitants des pays pauvres seront les plus touchés par la fin du support du SHA-1

    Les internautes dans les pays pauvres, qui utilisent des téléphones basiques pour leur principale connexion internet, vont être frappés de plein fouet par le retrait du SHA-1. Facebook et Cloudflare anticipent déjà cette exclusion et ils ont annoncé qu’ils proposeraient une migration en douceur avec un support du SHA-1, mais avec des incitations aux utilisateurs pour qu’ils mettent à jour leurs appareils.

    Les problèmes du SHA-1

    À partir du 1er janvier 2016, les navigateurs vont bloquer les sites web qui utilisent l’algorithme SHA-1 pour le remplacer par le SHA-2 à l’horizon 2017. Google va bloquer tous les sites avec le SHA-1 à partir de juillet 2016. Facebook et Cloudflare veulent que les utilisateurs, qui possèdent des appareils incompatibles avec le SHA-2, puissent toujours utiliser le SHA-1.

    Quand des internautes accèdent à un site en HTTPS, la communication entre les 2 parties est protégée par un outil de chiffrement appelé la fonction Hash. Ces algorithmes transforment n’importe quel message dans un ensemble de lettres et de nombres pour s’assurer que l’information provient de la bonne source. Si vous voyez l’URL d’un site commençant par HTTPS, alors il se pourrait qu’il utilise le SHA-1. Ce sont ces sites qui seront bloqués pour une minorité d’utilisateurs dans les pays pauvres.

    Depuis les années 1990, 2 principales fonctions de Hash protègent les navigateurs. Mais comme la puissance de calcul augmente, on a de plus en plus d’outils qui peuvent casser ce chiffrement. Le second algorithme, le MD5, a été abandonné en 2008 après que des chercheurs aient dévoilé de nombreuses failles. On estime qu’il faut environ 100 000 dollars pour casser une fonction de Hash en SHA-1 et ce cout va encore baisser dans les années à venir.

    L’abandon du SHA-1

    Donc, la meilleure solution est de remplacer le SHA-1 par le SHA-2. Et ce n’est pas juste une question d’ajouter un 2 au machin. Le MD5 et le SHA-1 sont compatibles avec tous les appareils depuis le début, mais le SHA-2 a été publié en 2001. Les personnes, avec d’anciens appareils avant cette date, vont être totalement bloquées. Et les utilisateurs d’anciens appareils sont prédominants en Asie et en Afrique. Cloudflare estime que 6,8 % des navigateurs en Chine ne supportent pas le SHA-2 tandis que c’est 3,6 % en Syrie.

    Richard Barnes, chef de la sécurité chez Mozilla, a déclaré qu’il n’y a que 3 % des sites qui supportent le SHA-1. On doit bloquer ces utilisateurs parce que cela les incite à changer d’appareils et de navigateurs selon Barnes. Une déclaration qui prouve la mentalité d’un utilisateur d’un pays riche. La seule raison pour supporter encore le SHA-1 est de laisser le temps aux utilisateurs de passer à une version récente de leur système. Firefox a abandonné le support du SHA-1 l’année dernière, mais Mozilla a remarqué une chute brutale et instantanée des téléchargements de Firefox. Les anciens navigateurs ne pouvaient plus se connecter à Mozilla.org pour télécharger le navigateur compatible en SHA-2.

    La fracture numérique est impossible à combler à cause d’une certaine mentalité de la technologie

    Mais la puissance de calcul continue d’augmenter et il faudra bientôt remplacer le SHA-2. Très peu d’appareils supportent le SHA-3 et dans 10 ans, l’informatique quantique va devenir une réalité et la puissance quantique pourra casser ce chiffrement de manière instantané qu’il soit du SHA-2 ou du SHA-3. Pour la plupart des analystes, c’est le fonctionnement normal de la technologie, mais quel en est l’intérêt si cela exclut une majorité des utilisateurs des pays pauvres dont on nous dit qu’il faut réduire la fracture numérique à longueur de journée ? L’affaire d’Opera Mini et du manque du support de certains styles CSS montre qu’on ne doit pas forcer les utilisateurs à changer constamment d’appareil, car cela renforce la mentalité de la société de consommation, mais plutôt d’adapter l’offre existante aux besoins et aux moyens des utilisateurs.

    On pourrait arguer que les progrès de la technologie baissent également les prix des appareils. Mais c’est une baisse par rapport au standard des pays riches et non des pays pauvres. Un appareil d’entrée de gamme récent coute de 100 à 150 dollars et c’est une broutille pour un habitant d’un pays riche, mais le salaire moyen en Chine est de 400 dollars tandis qu’il est de 275 dollars en Inde. L’Afrique propose un salaire moyen de 100 dollars. Il est difficile dans ces conditions d’inciter des utilisateurs à dépenser une partie importante de leur salaire à acheter un nouvel appareil en sachant qu’il faudra se lever tôt pour leur expliquer que le SHA-1 est dangereux pour leur navigation. De plus, on parle uniquement des appareils de marque, mais les pays pauvres sont inondés par les contrefaçons chinoises qui ont tout de l’appareil haut de gamme, mais dont le système et les applications sortent de nulle part.

    Au final, la technologie se retrouve confrontée à un obstacle éternel. Le fait que cette technologie est développée par des pays riches pour les habitants des pays riches. La prise en considération des habitants pauvres est secondaire puisqu’il n’y a personne dans les organismes pour leur expliquer le niveau de vie des pays émergents. On se contente de dire : On va procéder au changement et tant pis pour ceux qui restent sur le carreau. Ce n’est plus une mentalité de réduire la fracture numérique, mais de forcing et de prédation.

     

    N'oubliez pas de voter pour cet article !
    1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
    Loading...

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

    Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.