Il n’aura pas fallu attendre longtemps pour que les travaux de Google et de l’université d’Amsterdam sur les faiblesses de SHA-1 trouvent une application concrète. Quelques heures après la divulgation de la faisabilité d’attaques par collision contre l’algorithme de hachage, un des ingénieurs de WebKit, le moteur de Safari, a mené des tests visant précisément à évaluer comment le navigateur encaisserait des attaques de ce type.
Pour ce faire, l’ingénieur a versé dans le répertoire utilisé pour gérer les versions du code source de WebKit les deux PDF créés par Google pour démontrer la faisabilité de l’attaque par collision contre l’algorithme. Une démarche qui a provoqué le plantage du système Subversion (ou SVN), outil de gestion des versions de code utilisé par les équipes de WebKit. Ce dernier a alors refusé d’accepter tout nouveau code source, même après retrait des deux PDF de Google. Le dysfonctionnement, qui affecte toutes les versions de SVN, a été confirmé par Google et par la fondation Apache, qui assure le maintien du code de l’outil.
Même si les équipes de SVN ont déjà sorti un script permettant de vérifier que les fichiers soumis au système ne sont pas des fichiers déjà connus d’attaques par collision contre SHA-1, l’affaire démontre la nocivité des révélations de Google. « Les serveurs Subversion utilisent SHA-1 pour la déduplication et les répertoires sont corrompus en cas de soumission de deux fichiers entrant en collision. Nous avons noté que, dans certains cas, les soumissions suivantes sont elles aussi bloquées », résume Google. Si Git, le système de gestion de code source le plus populaire (qui a donné naissance à GitHub), n’est pas affecté pour l’instant, Linus Torvalds, son créateur, a déjà annoncé son intention de migrer vers un algorithme de hachage plus robuste.
Car, en pratique, la démonstration d’attaques par collision contre un algorithme de hachage signe son arrêt de mort. Une telle fonction cryptographique doit, en principe, transformer un ensemble de données en un message unique et chiffré. Une collision revient à créer le même message chiffré à partir de fichiers différents. C’est cet aboutissement auquel est parvenu Google, associé à l’institut de recherche en mathématiques et informatique CWI d’Amsterdam, aux termes de deux ans d’efforts.
A l’appui de ses affirmations, Mountain View a publié deux PDF produisant le même message haché avec SHA-1. Une faille de sécurité majeure, un assaillant pouvant ainsi faire accepter à un système un fichier malveillant en le faisant passer pour des données tout à fait légitimes. Et ce, même si Google a dû mobiliser des moyens considérables pour discréditer un algorithme qu’il souhaite voir définitivement mis au rencard. La première phase de calcul aboutissant à l’attaque par collision a nécessité 6 500 années de puissance CPU. La seconde a mobilisé 110 années de calcul GPU (puce graphique). « Si ces chiffres peuvent apparaître importants, l’attaque par collision contre SHA-1 reste 100 000 fois plus rapide qu’une attaque par force brute (contre cet algorithme, NDLR), qui demeure hors de portée à ce jour », écrit Google.
Histoire de bien mettre la pression sur l’industrie quant au nécessaire remplacement de l’algorithme vieux de plus de 20 ans, Mountain View prévient qu’il dévoilera le code permettant de créer des paires de fichiers PDF trompant SHA-1 dans 90 jours. « Afin d’empêcher la mise en œuvre de cette attaque, nous avons ajouté des protections pour les utilisateurs de Gmail et G Suite, qui détectent désormais notre technique de collision PDF », précise Google. La société fournit également gratuitement un outil de détection de fichiers exploitant sa technique d’attaque.
Même si certaines faiblesses de SHA-1 sont connues depuis 2005 (et que la possibilité théorique de l’attaquer par collision a été établie dès 2013), la fonction de hachage reste largement employée, y compris dans des systèmes de back-up ou de déduplication. L’utilisation de l’algorithme dans les certificats est par contre vouée à reculer rapidement, Chrome le considérant comme non sécurisé depuis janvier dernier. Une position sur laquelle vient de s’aligner Firefox, le navigateur de Mozilla, suite à la publication de Mountain View.
A lire aussi :
Nos données de santé (mal) protégées par l’indésirable SHA-1
Chiffrement : Microsoft va bannir le SHA-1 dans Windows 10 Anniversary Update
Firefox peine à se débarrasser de l’indésirable SHA-1
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.