"SHA-1 cassée" - Ce que vous devez savoir !

cyber-security-1805632_1280.png

La fonction de hachage cryptographique SHA-1 a été définitivement cassée. Qu'est-ce que cela signifie pour les utilisateurs ordinaires ?

"SHA-1" : qu'est-ce que c'est ?

SHA-1 est une fonction de hachage cryptographique et est l'abréviation de "secure hash algorithm 1". Elle sert à calculer la valeur de hachage (anglais : "hash value").  Cette valeur peut être considérée comme une signature numérique et sert à s'assurer que l'intégrité d'un message ou d'un fichier est garantie. Lorsque nous recevons un message crypté, il n'est pas exclu qu'il soit éventuellement manipulé par une tierce personne.

Chaque message a une valeur de hachage unique - un message manipulé ne peut pas avoir la même valeur de hachage que l'original. Les procédés avec lesquels des valeurs de hachage sont générées sont conçus de manière à ce que même des modifications minimes dans le message (p.ex. une lettre différente) donnent des valeurs de hachage complètement différentes. Lorsque nous recevons donc un fichier avec une valeur de hachage autre que celle de l'original, nous savons que nous devons nous méfier de ce fichier et qu'il ait probablement été compromis.

Dans la pratique, le procédé de hachage SHA-1 est utilisé pour confirmer l'originalité et l'intégrité de volumes importants de données, tels que des signatures numériques de programmes, mises à jour, sauvegardes, e-mails, etc. Lors du cryptage de transfert de données sur le net, des valeurs de hachage sont également utilisées et sont automatiquement vérifiées par le navigateur.

En ce qui concerne le procédé de hachage, il est important de dire qu'il serait impossible de créer une collision : deux documents différents qui génèrent la même valeur de hachage. Or, c'est ce qui est aujourd'hui possible avec SHA-1.

SHA-1 est considéré comme risqué depuis 2006 car des chercheurs en sécurité chinois avaient découvert une méthode permettant de casser en théorie le procédé. Aujourd'hui, des chercheurs du CWI Amsterdam en collaboration avec Google ont réussi à casser également en pratique SHA-1 - ou de fracasser, comme disent les chercheurs en utilisant un jeu de mots ("SHAttered" - fracassé). Ils ont créé deux documents PDF aux contenus différents mais qui ont la même valeur de hachage SHA-1. Il serait donc, en théorie, possible de faire signer de manière numérique un contrat à une personne et de modifier celui-ci à l'insu de la personne.

Qu'est-ce que cela signifie pour moi en tant qu'utilisateur ordinaire ?

Bien que la fonction de hachage SHA-1 soit considérée depuis 2011 comme dépassée ("deprecated"), elle est encore utilisée pour de nombreuses applications. Cependant, une option sûre est apportée par le procédé SHA-256. Dans les versions les plus actuelles, les navigateurs Chrome et Firefox n'acceptent plus de connexions cryptées qui utilisent le procédé SHA-1, les utilisateurs sont donc automatiquement protégés. Google Drive et Gmail testent automatiquement les fichiers quant à l'attaque. Aucune attaque liée à la vulnérabilité SHA-1 n'a été connue jusqu'à présent. Pour obtenir une collision, les chercheurs ont utilisé plus de 6 500 années de temps processeur - dans la pratique, les hackeurs auront du mal à égaliser cette performance de calcul - bien que cela ne soit pas impossible. Les documents PDF peuvent être testés sur le site Web shattered.it.

Les conseils de BEE SECURE :

La mesure de précaution la plus importante que vous pouvez prendre en tant qu'utilisateur ordinaire est d'utiliser un navigateur moderne et de faire régulièrement des mises à jour. Aussi, il est judicieux de se renseigner régulièrement sur les différents services/outils que l'on utilise - aussi lorsque cela semble fastidieux ou pas simple. Une gestion critique constante également en ce qui concerne les services/outils que l'on utilise depuis un certain temps et pour lesquels aucun incident n'a eu lieu est également à recommander. Toute personne travaillant dans la technologie informatique et utilisant encore SHA-1 devrait lire attentivement les informations sur shattered.it.

Sources :