Plus tôt ce mois-ci, les cryptographes Gaëtan Leurent et Thomas Peyrin ont mis au jour une attaque à la sécurité de l'algorithme de hachage SHA-1, utilisé à travers l'Internet. Bien que de meilleurs algorithmes de hachage aient vu le jour au cours des 20 dernières années, l'algorithme SHA-1 reste encore largement utilisé, en particulier par des gens qui ne savent pas qu'il présente des faiblesses.
Les algorithmes de hachage sont utilisés pour créer de courtes chaînes de bits, dites valeurs de hachage ou empreintes, qui peuvent représenter des messages plus longs. Une des propriétés des bons algorithmes de hachage est qu'il est extrêmement difficile, voire -espérons-le – impossible, de créer deux messages différents avec la même valeur de hachage. Pendant plus d'une décennie, les cryptographes ont publié des documents de recherche faisant état d'attaques qui cherchent à mettre en cause la « force » du SHA-1, à savoir, sa capacité à générer des valeurs de hachage uniques à partir d'un message d'entrée arbitraire. Le document de recherche publié ce mois-ci constitue une amélioration importante par rapport au travail réalisé jusqu'à aujourd'hui. À l'instar de la plupart des protocoles Internet, les extensions de sécurité du système des noms de domaine (DNSSEC) utilisent des algorithmes de hachage pour accélérer les délais de signature et de validation des signatures.
La nouvelle attaque rend plus facile pour un attaquant de tromper les administrateurs de zone du système des noms de domaine (DNS) pour créer des valeurs de hachage, ou dit autrement dans des termes DNSSEC, des signatures fiables sur des enregistrements DNS qu'ils n'ont pas l'intention de signer. En jargon technique, ce nouveau travail facilite pour les acteurs malveillants la création de collisions à préfixe choisi. En langage non technique, cela veut dire qu'un attaquant peut créer plus facilement deux enregistrements DNS qui ont la même valeur de hachage SHA-1. Si l'un des deux enregistrements a l'air inoffensif et qu'il arrive à convaincre un administrateur de zone de le signer, la signature s'appliquera également à l'enregistrement moins inoffensif que l'administrateur de la zone n'a jamais vu.
Cette attaque améliorée a des conséquences graves pour toutes les parties de l'Internet qui utilisent le SHA-1. Dans les DNSSEC, le SHA-1 fait partie de certains algorithmes de signature qui ont été utilisés depuis le tout début pour sécuriser le DNS. Bien que la plupart des zones signées DNSSEC utilisent des algorithmes de hachages plus forts, il y en a encore beaucoup qui signent avec des algorithmes qui se servent du SHA-1. En fait, plus de 250 domaines de premier niveau (TLD) utilisent encore des algorithmes avec SHA-1. Tony Finch, un contributeur de longue date aux recherches sur le DNS à l'université de Cambridge, a écrit un excellent article sur le rapport entre l'attaque et les DNSSEC.
Le moment est venu pour les administrateurs de zones à tous les niveaux du DNS d'arrêter l'utilisation de SHA-1 et de basculer vers d'algorithmes basés sur des condensats plus robustes. Même s'il n'y a pas urgence à effectuer le basculement de manière immédiate, l'annonce très diffusée de l'attaque améliorée incitera d'autres chercheurs à aller plus loin dans ces attaques. Par ailleurs, le moment arrivera où l'abandon de SHA-1 deviendra une mesure urgente. Personne ne souhaite changer des processus de signature sous de fortes contraintes de temps ; c'est pourquoi un changement effectué maintenant ou dans les trois prochains mois éviterait de devoir agir dans l'urgence plus tard.