Finalement, Microsoft va continuer à supporter la norme de hachage cryptographique SHA-1 obsolète, encore utilisée par Windows 7, jusqu’à la mi-juillet. Comme d'autres éditeurs de logiciels, Microsoft « signe » numériquement ses mises à jour avant leur diffusion sur Internet. Lancé en 1995, le SHA-1 (Secure Hash Algorithm 1) est considéré comme non sécurisé depuis 2005, mais il a été conservé pour des raisons de rétrocompatibilité, principalement pour Windows 7. Cependant, Microsoft veut se débarrasser du SHA-1 et ne s'appuyer que sur le SHA-2 (Secure Hash Algorithm 2), plus sûr.
À la fin de l'année dernière, l’éditeur avait annoncé qu’il livrerait mi-février des mises à jour pour Windows 7 et Windows Server 2008 R2 SP1 (Service Pack 1) pour implementer le support SHA-2. À l’époque, la firme de Redmond avait promis que les machines exécutant ces systèmes d'exploitation ne recevraient pas les mises à jour de sécurité mensuelles habituelles après la livraison des mises à jour de sécurité autonomes du 12 mars pour Windows 7 et Windows Server 2008 R2 SP1 et du 9 avril pour Windows Server 2008 R2 SP2 comprenant le support SHA-2. Mais la date butoir a été reportée au mois de juillet. « Les mises à jour pour les anciennes versions de Windows nécessiteront l'installation du support de signature de code SHA-2 » d'ici le 16 juillet, indique ainsi un document révisé publié le 15 février. « Le support du SHA-2 ajouté en mars et en avril sera nécessaire pour continuer à recevoir des mises à jour sur ces versions de Windows ».
Un report de 3 mois non justifié
Les PC et serveurs n’ayant pas installé ces mises à jour recevront les correctifs de sécurité jusqu'au 16 juillet. Ce qui signifie qu'elles seront éligibles au Tuesday Patch de juillet, mais pas aux prochaines mises à jour de sécurité régulières, dont la suivante est prévue le 13 août. Au 16 septembre, toutes les mises à jour de Windows utiliseront uniquement le SHA-2. Les entreprises qui s'appuient sur WSUS (Windows Server Update Services) 3.0 pour gérer et distribuer les mises à jour de Microsoft doivent également récupérer et installer une mise à jour autonome du 12 mars pour ajouter le support SHA-2. Ceux qui ne le feront pas d'ici le 18 juin ne seront pas en mesure de délivrer des mises à jour de sécurité aux systèmes clients. Les utilisateurs de Windows 10 n'auront pas à se préoccuper de ce problème, car le nouvel OS n'accepte que les mises à jour signées en SHA-2, et n'a donc pas besoin d'être mis à jour. Cependant, pour se débarrasser définitivement du SHA-1, Microsoft va supprimer la double signature SHA-1 et SHA-2 encore en vigueur pour les mises à jour de Windows 10.
Microsoft n'a pas formulé de motif pour expliquer ce report de trois mois du délai de signature des mises à jour de Windows 7. L'entreprise a peut-être pris en compte le fait qu’un grand nombre de clients utilisent encore l’ancien système d'exploitation et qu’il était inutile de bloquer les mises à jour de sécurité quelques mois avant la mise à la retraite de l’OS, programmée pour janvier 2020. Microsoft a peut-être simplement voulu aussi se donner une marge de sécurité plus grande entre la livraison de la mise à jour SHA-2 de Windows 7 et la fin de la signature SHA-1, au cas où le processus ne se passerait pas comme attendu en mars. Le fiasco de la Maj d’automne de Windows 10 1809 est encore dans les mémoires… Microsoft a même pris la précaution d’annoncer que ce nouveau calendrier pourrait être encore modifié. « Veuillez noter que ce calendrier... est sujet à changement », indique le document de support. « Nous mettrons à jour cette page au fur et à mesure de la mise en route du processus et selon les besoins ».