SHA-1 à nouveau victime d’une attaque par collision, plus forte que la premièreCrédits : weerapatkiatdumrong/iStock

Il y a trois ans, des chercheurs avaient prouvé que l’algorithme d'empreinte SHA-1 n’était définitivement plus fiable : des collisions étaient possibles.

Il y a collision quand deux fichiers chiffrés par le même algorithme donnent le même hash (empreinte cryptographique). En conséquence, un fichier peut sembler être ce qu’il promet et pourtant renfermer des données différentes.

À l’époque, l’attaque était cependant difficile à mettre en œuvre, nécessitant selon les chercheurs entre 110 000 et 560 000 dollars d’investissement sur Amazon Web Services pour les calculs, comme le rappelle Ars Technica. La nouvelle n’en nécessite que 45 000.

La méthode, tout juste présentée par des chercheurs au Real World Crypto Symposium de New York, permet également plus de souplesse pour les attaquants.

L’utilisation de SHA-1 a largement diminué ces dernières années, mais il est souvent l’algorithme par défaut vers lequel se replier quand un service, quel qu’il soit, se retrouve face à un appareil ne gérant pas de technologies plus récentes.

Nos confrères rappellent en outre que SHA-1 reste l’algorithme par défaut de l’ancienne branche 1.4 de GnuPG pour certifier les clés PGP. Les signatures SHA-1 étaient même acceptées jusqu’à récemment par la branche actuelle. Elles ne le sont plus, les développeurs ayant été prévenus par les chercheurs. Git l’utilise par contre toujours pour l’intégrité du code.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !