Sites Inria

Sécurité informatique

Laurence Goussu - 7/10/2015

Des chercheurs alertent : le standard industriel SHA-1 devrait être retiré plus tôt que prévu

Une équipe internationale de cryptanalystes presse aujourd'hui l'industrie de retirer le standard de sécurité Internet SHA-1  plus tôt que prévu, car il pourrait être cassé à un coût significativement plus bas que précédemment estimé. Ce standard industriel est utilisé par exemple pour les signatures électroniques, qui sécurisent les transactions à base de carte bancaire, la banque dématérialisée, et la distribution de logiciel.  Pour l'instant, il est prévu de déclarer, au niveau des navigateurs Internet, les signatures à base de SHA-1 risquées, en faveur de son successeur, SHA-2, seulement en janvier 2017. Marc Stevens (CWI, Pays-Bas), Pierre Karpman (INRIA, France et NTU, Singapour) et Thomas Peyrin (NTU, Singapour), estiment maintenant que  la création de signatures numériques frauduleuses sera vraisemblablement réalisable bien avant cette date.

Marc Stevens dit : “nous venons juste de réussir à casser la fonction interne de SHA-1. Nous pensons que les attaques au niveau de l'état de l'art, décrites en 2013, sur SHA-1 complet devraient coûter 100000 dollars en louant des cartes graphiques dans le cloud.”

Cartes graphiques

Le 22 septembre, un travail commun de Stevens, Karpman et Peyrin a produit une collision à valeur d’initialisation libre sur le standard industriel SHA-1.
SHA-1 est un algorithme cryptographique conçu par la NSA en 1995 pour calculer des empreintes sûres de messages. Ces empreintes sont utilisées dans le calcul des signatures électroniques, qui sont fondamentales pour la sécurité d'Internet, par exemple la sécurité d'HTTPS (SSL), la banque dématérialisée, la signature de documents et de logiciels.
Les collisions – plusieurs messages qui présentent la même empreinte – peuvent conduire à la création de signatures numériques frauduleuses. Une collision à initialisation libre casse le niveau interne de SHA-1. “Nous avons démontré comment des cartes graphiques peuvent être utilisées de manière très efficace pour de telles attaques. Maintenant nous pouvons utiliser ce résultat pour rendre l'attaque par collision sur SHA-1, issue de l'état de l'art, significativement moins coûteuse”, explique Pierre Karpman .

Recommandations internationales

L'équipe déclare : “en 2012, l'expert en sécurité Bruce Schneier a estimé que le coût de production d'une collision SHA-1 sera autour de 700 000 dollars en 2015”. Ce montant décroitrait pour être en 2018 de l'ordre de 173 000 dollars, qu'il a estimé être dans les capacités financières de criminels. Toutefois, nous avons utilisé des cartes graphiques très rapides, et nous estimons maintenant que le coût d'une collision complète sur SHA-1 sera, au début de l'automne 2015, entre 75000 et 120000 dollars en louant le cloud EC2 d'Amazon pendant quelques mois seulement.
Cela implique que de telles collisions sont déjà accessibles aux ressources d'organisations criminelles, presque deux ans plus tôt que prévu, et un an avant que SHA-1 soit traitée comme peu sûre dans les navigateurs Internet modernes.
En conséquence nous recommandons que les signatures à base de SHA-1 soit déclarées dangereuses, bien plus tôt que prévu par les recommandations internationales courantes.

Navire qui sombre

“Bien que ce ne soit pas encore une attaque complète, l'attaque actuelle n'est pas une défaillance usuelle ans un algorithme de sécurité, le rendant plus vulnérable seulement dans un futur lointain”, ajoute le professeur Ronald Cramer , responsable du groupe de cryptologie du CWI. “Comparons SHA-1 à un bateau qui a heurté un iceberg et qui se remplit d'eau rapidement. Nous savons maintenant la taille de la voie d'eau, la vitesse à laquelle l'eau rentre, et quand le vaisseau coulera : bientôt. Il est temps de changer de bateau, et de changer pour SHA-2”.
Le Professeur Assistant Thomas Peyrin , responsable du Symmetric and Lightweight cryptography Lab (SYLLAB) à NTU, explique:“SHA-1 était déjà cassée théoriquement, mais maintenant une implantation très efficace, à coût raisonnable, de cette attaque est en vue.
SHA-2 et SHA-3, les successeurs de SHA-1, ne sont pas affectées par ces dernières avancées en cryptanalyse et restent sûres”. Daniel Augot , responsable de l'équipe-projet Grace, et directeur de thèse de Pierre Karpman chez INRIA déclare : “L'impact des collisions actuelles sur SHA-1 ne sera pas aussi drastique que dans le cas de l'attaque sur HTTPS de 2008 ou de l'apparition du logiciel malveillant Flame en 2012. Toutefois, les collisions à valeur d’initialisation libre annoncent la fin de la confiance dans les signatures électroniques basées sur SHA-1.”
Le professeur Huaxiong Wang , directeur de la division des sciences mathématiques de NTU, dit “Nous recommandons que les autorités de certification (CA), les distributeurs de navigateur, et l'industrie en général accélèrent la migration vers SHA-2. Malheureusement, même la fragilisation d'une seule autorité de certification menace la sécurité de tous les sites HTTPS dans le monde entier, comme montré clairement par l'attaque sur HTTPS en 2008. Néanmoins, nous conseillons aussi aux sites web de migrer bientôt vers SHA-2, pour éviter des messages d'avertissement quand les navigateurs Internet retirerons leur confiance en SHA-1”. Marc Stevens ajoute : “nous espérons juste que l'industrie a su apprendre des évènements dus à MD5, le prédécesseur de SHA1, et, dans ce cas, qu'elle retirera SHA-1 avant que des exemples de fausses signatures apparaissent dans un futur très proche”.

Le groupe a décrit ses recommandations dans une déclaration, qui est accessible en ligne (https://sites.google.com/site/itstheshappening/)

Ces travaux ont été partiellement financés pour Marc Stevens par l'allocation Veni 2014 de l'organisation hollandaise pour la recherche scientifique, par la Direction Générale de l'Armement pour Pierre Karpman, et par une bourse universitaire 2012 de la fondation nationale de la recherche de Singapour, pour Pierre Karpman et Thomas Peyrin.

Mots-clés : Sécurité informatique Faille SHA-1 Cybersécurité Internet

Haut de page

Suivez Inria