Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

SHA-1 : des chercheurs prouvent l'exploitation des collisions dans une attaque

Jumeau maléfique
Internet 3 min
SHA-1 : des chercheurs prouvent l'exploitation des collisions dans une attaque
Crédits : weerapatkiatdumrong/iStock

Deux équipes ont travaillé à la réalisation d’une méthode capable de produire en un temps « raisonnable » des collisions avec l’algorithme SHA-1. Un danger qui n’est pas neuf, mais qui s’amplifie, avec dans l’ombre la perspective de pouvoir falsifier des documents et donc faciliter certaines attaques.

L’algorithme SHA-1 (Secure Hash Algorithm) permet le hachage des données (voir notre dossier) afin d'en assurer l'intégrité. Pour cela, il produit une empreinte de 160 bits, censément unique.

On retrouve souvent le SHA-1 par exemple sur différents sites de téléchargement, quand l’utilisateur est invité à contrôler qu’il a bien le bon fichier mais aussi dans de nombreux services et outil de chiffrement. Mais SHA-1 n’est plus tout à fait considéré comme sûr depuis des années, et les principaux navigateurs comptent l’abandonner dans les mois qui viennent.

Repérer et exploiter les collisions

Pour montrer à quel point le SHA-1 n’est plus digne de confiance, deux équipes se sont associées, l’une de l’institut CWI d’Amsterdam, l’autre de Google. Dans un billet publié il y a quelques jours, les chercheurs en sécurité ont annoncé avoir trouvé une méthode, SHAttered, leur permettant de découvrir des cas de collision 100 000 fois plus rapidement qu’avec une méthode classique par force brute.

La collision est la bête noire de ce type d’algorithme. Elle se produit quand deux fichiers différents génèrent le même hash. Ce qui signifie que l’un des deux fichiers pourrait être malveillant et se faire passer pour la version authentique.

Sur le site ouvert pour l’occasion, les chercheurs évoquent les dangers inhérents à la collision. Ils présentent également deux fichiers PDF au contenu différent mais disposant de la même empreinte SHA-1. Or, on peut imaginer que le premier soit un contrat signé par un client, tandis que d’autre sera une version altérée, portant lui aussi la signature.

Faciliter les collisions revient donc à augmenter le risque que des données se fassent passer pour ce qu’elles ne sont pas. Signatures de documents, certificats électroniques, contrôle de versions, systèmes de sauvegarde, mises à jour de logiciels, correctifs de sécurité et autres sommes de contrôles pour les images ISO sont concernés.

Un défaut connu depuis 12 ans

Comme indiqué cependant, le défaut de sécurité dans SHA-1 n’est pas une nouveauté. L’expert en sécurité et cryptanalyse Bruce Schneier consacrait ainsi déjà en 2005 un article sur les collisions dans l’algorithme. Il avait été capable d’en trouver en 2^69 calculs, ce qui représentait déjà il y a 12 ans une méthode 2 000 fois plus rapide que la force brute.

Ce qui explique d’ailleurs en partie pourquoi Microsoft et Mozilla (entre autres) préparent actuellement l’abandon de SHA-1, d'ici la fin de l’année. Google l’a supprimé le mois dernier lors d’une mise à jour de Chrome. L’éditeur attendra d’ailleurs 90 jours avant de révéler le code d’exploitation et la méthode détaillée, en accord avec la politique de sa Zero Day Initiative. Les chercheurs se veulent cependant rassurants : ils n’ont observé aucune attaque par ce biais pour l’instant.

Un outil simple pour vérifier les documents

Le site des chercheurs fournit en outre une méthode simple pour vérifier si un document quelconque pourrait être impliqué dans une attaque par collision. Cette protection a été déployée par Google dans Gmail et sa Gsuite afin de signaler à la volée un éventuel problème. Le code de détection a été écrit par Marc Stevens (CWI) et Dan Shumow (Microsoft), et est disponible dans un dépôt GitHub. 

Côté utilisateur, il n’y a pas grand-chose à faire, à part s’assurer que la dernière révision du navigateur est installée. Côté développeur par contre, il faudra basculer vers des algorithmes beaucoup plus récents, comme SHA-256 ou SHA-3. Notez cependant que dans le cas de Git, Linus Torvalds a indiqué durant le week-end que plusieurs protections avaient déjà été mises en place pour empêcher ce type d'attaque de fonctionner.

56 commentaires
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 27/02/17 à 10:40:57

Il est plus que temps de migrer vers md4, voire md5 si vous êtes vraiment parano :troll:

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 27/02/17 à 10:43:26

tpeg5stan a écrit :

Il est plus que temps de migrer vers md4, voire md5 si vous êtes vraiment parano :troll:

taquin, va :mdr:

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 27/02/17 à 10:44:34

Google l’a supprimé le mois dernier lors d’une mise à jour de Chrome.

Firefox aussi lance la mise à jour.

Notez cependant que dans le cas de Git, Linus Torvalds a indiqué durant le week-end que plusieurs protections avaient déjà été mises en place pour empêcher ce type d'attaque de fonctionner.

C'est-à-dire ? Je n'ai pas vu de mise à jour de git sur mon poste ce week-end.

Avatar de Northernlights Abonné
Avatar de NorthernlightsNorthernlights- 27/02/17 à 10:46:49

C'est impressionnant cette obsolescence des hachages.
Par contre SHA256 commence aussi a montrer ses faiblesses.
Pourquoi toujours tarder? Economiser un peu de charge CPU face a la sécurité a rarement été un paris gagnant jusqu'à présent ...

Avatar de Jonathan Livingston Abonné
Avatar de Jonathan LivingstonJonathan Livingston- 27/02/17 à 10:48:01

L’algorithme SHA-1 (Secure Hash Algorithm) permet le hachage des données (voir notre dossier) afin d'en assurer l'intégrité. Pour cela, il produit une empreinte de 160 bits, censément unique.

Non, par définition l'empreinte n'est pas unique. Il est juste censément impossible "dans un temps raisonnable" de déterminer un jeu de données différent ayant la même empreinte.

Édité par Jonathan Livingston le 27/02/2017 à 10:49
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 27/02/17 à 10:48:04

Tu as un graphe d'évolution ici, ça permet de mieux visualiser :&nbsphttp://valerieaurora.org/hash.html

Avatar de CoooolRaoul INpactien
Avatar de CoooolRaoulCoooolRaoul- 27/02/17 à 10:49:57

"on peut imaginer que le premier soit un contrat signé par un client, tandis que d’autre sera une version altérée, portant lui aussi la signature."

Pour que ce soit exploitable ainsi, encore faudrait-il qu'a partir d'un fichier donné on soit capable de générer son "jumeau de signature" avec le contenu qu'on désire. J'en doute un peu.

Avatar de janiko Abonné
Avatar de janikojaniko- 27/02/17 à 10:50:29

SHA256 avait pour cahier des charges d'optimiser les calculs, et se révèle en pratique équivalent (en charge de calcul) que SHA1.

Le problème de quitter SHA1 est plus complexe, notamment à cause des autorités de certification au-dessus qui ne savent pas faire, ou qui demandent à être changées (ou ajoutées). Pas simple dans un contexte professionnel.

Après, il n'est pas interdit d'utiliser SHA1 : dans certains cas il est largement suffisant. Il faut toujours évaluer le risque résiduel, en sécurité informatique...

Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 27/02/17 à 11:00:04

Qui dit HASH, dit collisions, il n'y a pas de magie, seul l'infini permet d'éviter les collisions, mais on ne voudrait pas d'une clef infiniment grande...

Pour le moment, ils n'ont pas diffusé grand chose comme infos, il y a deux points où je serais curieux d'avoir l'explication : 
1/ Comment ils ont réduit la complexité (je sens que je vais mourir suite à ce cours de maths)
2/ Comment ils détectent les mauvais clones dans leur outil (mais là j'imagine que pour faire le mauvais clone, on ajoute un truc dans le fichier qui pourrait apparaître bizarre car inutile dans son format)

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 27/02/17 à 11:00:46

Quoi? Tu veux dire qu'en 160 bit on ne peut pas recréer l'intégralité de tout ce qui existe? Dommage, on avait là l'archivage ultime :)

Il n'est plus possible de commenter cette actualité.
Page 1 / 6
  • Introduction
  • Repérer et exploiter les collisions
  • Un défaut connu depuis 12 ans
  • Un outil simple pour vérifier les documents
S'abonner à partir de 3,75 €