SHA-1 cassé – récapitulatif et prises de conscience

Le monde complexe de la cryptographie est « en deuil » : l’algorithme de hachage SHA-1 est désormais cassable !

Ce 23 février 2017 est à marquer d’une pierre blanche : SHA-1 est officiellement mort. En effet, des équipes de chercheurs du CWI (Une institut de recherches autrichienne) et un membre de Google ont travaillé pour effectuer la première collision SHA-1 et ainsi, casser le système.


Qu’est-ce que le SHA-1 ?

Un algorithme de hachage tel que le SHA-1 permet de créer une empreinte d’un fichier ou d’un mot. Cette empreinte sert aussi bien de hachage que de signature – c’est-à-dire que vous pouvez contrôler l’intégrité d’un fichier en comparant l’empreinte qui vous a été fournie que celle que vous calculez.

Le SHA-1 a été créé par la NSA il y a maintenant plus de vingt ans. De base robuste pour l’époque, le SHA-1 s’est révélé être un sacré allié pour chiffrer / hacher les mots de passe dans les bases de données. Pour de plus amples informations, je vous suggère la lecture de cet article.


Quels impacts ?

Depuis plusieurs années, le SHA-1 est considéré comme obsolète depuis que des équipes ont expliqué quelques étaient les attaques possibles contre cet algorithme. On parle de « collision ». La plus grosse faille rendant l’algorithme « cassé » consiste à avoir le même hash entre deux fichiers différents. Si ces deux fichiers ont le même hash, alors il est possible d’utiliser ce hash pour déchiffrer l’un ou l’autre fichier. Lorsque l’on sait que le SHA-1 est utilisé partout dans le monde entier et notamment dans des services critiques comme les banques, voyez où je veux en venir…

Mais il n’y a pas que les services web qui sont impactés, il y a aussi certains logiciels, comme les dépôts SVN. En effet, ce dernier utilise SHA-1 pour s’assurer qu’aucun fichier soit en double dans le dépôt ; Or des techniciens de Google sont parvenus à déjouer le système et et à prouver que la sécurité anti-doublon pouvait être mise à mal avec cette attaque dite « par collision ». L’article de Silicon.fr (à cette adresse) vous en dira beaucoup plus.


Quels sont les alternatives ?

Heureusement pour nous, il n’y a pas qu’un seul algorithme de hachage. Plusieurs sont disponibles et sont (pour le moment) utilisable de façon sûre. Parmi eux :

  • SHA-2 (ou SHA-256 ou SHA-512) & SHA-3
  • bcrypt

Il s’agit de quelques exemples d’alternatives utilisables à échelle humaine – c’est-à-dire utilisable par tous les PC quels qu’ils soient. Vous n’aurez pas besoin d’avoir une puissance hallucinante pour utiliser ces algorithmes. Vous pouvez retrouver la liste de tous les algorithmes de chiffrement et de hashage rendus obsolètes à cette adresse : securiteinfo.com

D’autres articles / liens en relation avec SHA-1 – lien

Article par NextInpact


Ce qu’il faut retenir

Les algorithmes que nous connaissons finirons tous par être cassés. Qu’importe le temps pris, ils ne tiendront pas. Compte-tenu des puissances de calcul dans nos mains, il faut garder à l’esprit qu’il faut sans cesse renouveler ses méthodes. Ainsi, si vous utilisez le SHA-1 pour vos services / logiciels / outils, il est impératif de passer au moins à du SHA-256 voire SHA-512.
Aujourd’hui encore, SHA-1 ne peut être cassé facilement – les équipes à l’oeuvre ont les moyens techniques, financiers et humains pour réussir ce cassage. Il ne faut donc pas non plus paniquer et tout changer sur un coup de tête.

Source
Arstechnica

Julien HOMMET

Passionné depuis toujours par l’informatique, je transforme ma passion en expertise. J’utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l’utilisation des OS Debian et Archlinux.
L’infosec m’ouvre les yeux sur les enjeux actuels et futurs de l’IT.

1 thought on “SHA-1 cassé – récapitulatif et prises de conscience”

  1. Oui enfin ce n’est pas à la portée de tout le monde de mettre à mal quelque chose comme SHA1, et encore moins d’exploiter cette vulnérabilité. (Peut-on vraiment parler de faille finalement quand il faut un matériel si considérable ?)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close