Information émise par Bruce Schneier, et donc peu sujette à caution : un groupe d'universitaires chinois (Xiaoyun Wang, Yiqun Lisa Yin et Hongbo Yu) serait parvenu à trouver des « collisions » dans le hash du très fameux SHA-1 (prononcer « chahouane »). C'est ce même SHA-1 qui est officiellement à la base de tout programme de cryptage utilisé par l'Administration Fédérale américaine, en remplacement de l'ancien MD5. Selon les dires de Schneier, la méthode utilisée serait considérablement plus efficace qu'une attaque en « brute force ». Rappelons que Bruce Schneier est le papa des algorithmes Blowfish-Twofish, et fait figure de « grand » dans la communauté des cryptoanalystes. En outre, les chercheurs chinois à l'origine de cette révélation ont déjà prouvé leur sérieux et leur compétence il n'y a pas si longtemps, en « optimisant » les méthodes de recherche de collisions dans les hash de MD4, MD5, Haval et RipeMD. Ces travaux, publiés en août dernier, étaient concomitant à ceux,d'une part, de l'équipe d'Antoine Joux sur SHA-0, et d'autre part aux recherches de Eli Biham et Rafi Chen, toujours à propos du SHA-0. Ces mêmes Eli Biham et Rafi Chen avaient alors précisé que, d'un point de vue purement mathématique, les jours de SHA-1 étaient comptés. Que les utilisateurs de PGP et autres programmes de cryptage se rassurent : la compréhension des communications mathématiques de ce niveau ne sont pas à la portée du premier venu, les moyens techniques pour y parvenir sont généralement hors de portée du « pirate moyen », et l'attaque du hash ne constitue qu'un pas vers le véritable « cassage » du code. Un article de vulgarisation sur les collisions et l'implication de ce genre de recherche a été publié sur le site Cryptography… à une époque où SHA-1 était encore inviolé.
Par mesure de précaution, il faut s'attendre à ce que l'Administration Fédérale « renforce » ses outils de cryptage, signale déjà le Federal Computer Week au début de ce mois. L'on parle déjà de SHA-256 et SHA-512.
La crypto de G.W. Bush cassée par des chinois
0
Réaction
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire