Microsoft vient de publier un bulletin de sécurité (2880823) recommandant l’abandon de la fonction de hachage cryptographique SHA-1 (Secure Hash Algorithm). Cette algorithme a été conçu par la NSA puis publié comme un standard NSIT. Il est utilisé pour délivrer des certificats par les autorités de certification telles qu’Active Directory Certificate Services. Microsoft arrêtera de reconnaître la validité des certificats SHA-1 après 2016. C’est pourquoi il est recommandé de changer ce standard pour des certificats SHA-2. Cet abandon est dû aux multiples attaques qu’a pu subir ce standard.
Mais avant d’arrêter l’utilisation de ces certificats, quand est-il de l’impact sur nos applications ? Celui-ci est difficile à mesurer et demande une validation des éditeurs concernés. Concernant ConfigMgr, voici un résumé des algorithmes supportés par type de composants/opérations :
- Signature et chiffrement des stratégies : 3DES
- Hachage des stratégies : SHA-1 et SHA-256
- Hachage du contenu : SHA-256
- Chiffrement de l’état et des données de migration : 3DES
- Chiffrement des packages Multicast : AES
- Chiffrement des médias pour le déploiement de systèmes d’exploitation : AES
- Chiffrement du contenu hébergé sur les Cloud Distribution Points : AES
- Chiffrement et hachage des notifications clients : SHA-1 ou SHA-2
- La plupart des certificats utilisés pour gérer les clients Mac, Windows, AMT, périphériques mobiles supportent SHA-256
- Le certificat utilisé par le connecteur Windows Intune : SHA-1
L’équipe ConfigMgr est au courant et étudie les solutions possibles pour se débarrasser complétement de SHA-1.
