Sites Inria

English version

Cryptographie

Charlotte Renauld - 6/03/2017

SHA-1 : les prédictions d’Inria vérifiées

Extraction de données d'une carte bancaire

En février dernier, Pierre Karpman, ancien doctorant de l’équipe GRACE du centre Inria Saclay – Île-de-France, et son équipe ont provoqué une collision entre deux fichiers PDF et prouvé l’obsolescence du standard de hachage SHA-1.

« Une fonction de hachage cryptographique est un algorithme cryptographique qui transforme tout document électronique en une empreinte courte de taille fixe, le hash, et qui sert à contrôler l’intégrité des fichiers. Un algorithme de hachage empêche que deux fichiers aient le même hash et donc que l’on puisse remplacer un fichier par un autre, » nous explique Daniel Augot, responsable de l’équipe-projet Grace.

2015 : une première collision

Pierre Karpman, ancien doctorant de l’équipe Grace, avait fait sa thèse de 2013 à 2016 sur ce sujet et déjà obtenu un résultat qui indiquait qu’une collision était possible. En octobre 2015, conscient de cette faiblesse, et alors qu’il était membre d’une équipe internationale de cryptanalystes, Pierre Karpman, en collaboration avec Marc Stevens (CWI, Pays-Bas) et Thomas Peyrin (NTU, Singapour), pressait l'industrie de retirer le standard de sécurité Internet SHA-1 plus tôt que prévu. Les travaux de recherche de l’équipe avaient mis en évidence une collision « à initialisation libre » sur la fonction de hachage SHA-1. 

Ce standard industriel est utilisé, par exemple, pour les signatures électroniques, qui sécurisent les transactions à base de carte bancaire, la banque dématérialisée et la distribution de logiciel. Il certifie également la sûreté d’un site web et évite qu’il existe deux versions d’un site internet, l’un sécurisé et l’autre non.

2017 : SHA-1 est définitivement corrompu

En février 2017, Pierre Karpman, devenu post-doctorant au CWI, Centrum Wiskunde & Informatica , et son équipe, ont provoqué la collision mise en évidence en 2015, l’ont mise en ligne et ont prouvé qu’il était possible de fabriquer deux fichiers PDF avec la même signature numérique SHA-1. Le standard SHA-1 est donc définitivement corrompu. Tous les sites qui continuent à l’utiliser et qui ne seraient pas déjà passés aux nouveaux standards comme suggéré en 2015, s’exposent à des attaques dangereuses. 

Concrètement, il devient possible de créer deux fichiers PDF collisionnant comme deux contrats de location avec un loyer différent, et dans ce cas-là tromper quelqu'un avec un contrat au loyer élevé en lui faisant signer un contrat de location à bas prix. 

Si l’on prend l’exemple d’un site marchand qui utilise encore SHA-1, un attaquant pourrait également potentiellement produire un faux certificat qui lui permettra de se substituer au vrai site, et d'engager ensuite une session sécurisée avec les utilisateurs du site. Ceux-ci croiront être sur le vrai site, alors que leur connexion est entre les mains de l'attaquant. 

L'enjeu de cette découverte

L’intérêt de cette découverte est, maintenant, d’accroître la sensibilisation de tous les utilisateurs et de convaincre l'industrie de passer rapidement à des solutions de rechange plus sûres, comme SHA-256 et SHA-3 afin d’éviter de s’exposer à des attaques très puissantes : falsification de signature électronique, fausses mises à jour de logiciel, faux certificat de site marchand...

Bien que l'algorithme de SHA-2 partage des similarités avec celui de SHA-1, les attaques sur SHA-1 n'ont actuellement pas pu être étendues à SHA-2. Le NIST (National Institute of Standards and Technology ) a cependant organisé un concours en 2012 pour sélectionner une nouvelle fonction de hachage, SHA-3 dont la conception est très différente de SHA-1 et de SHA-2. La nouvelle famille de fonctions est présentée comme un autre choix possible mais ne remet pas en cause l'utilisation de SHA-2, du moins dans l'immédiat.

Mots-clés : Inria Saclay - Île-de-France centre Daniel Augot Cryptographie SHA-1 Grace

Haut de page

Suivez Inria tout au long de son 50e anniversaire et au-delà !