Collision Sha-1 : Github prépare ses rustines

Technologie : Dans un post de blog, l’équipe de Github revient sur la découverte de cette faille de sécurité au sein de la fonction de hachage Sha1 et de ses implications. Des mesures de protection ont été mises en place en attendant une évolution de la fonction de hachage.

Fin février, Google annonçait la nouvelle : ses équipes étaient parvenues à réaliser une collision sur des fichiers hachés grâce à l’algorithme Sha1. Une mauvaise nouvelle pour la sécurité : cette collision marque le début de la fin pour Sha1 qui ne peut plus être considéré comme un algorithme capable de remplir correctement sa mission. Malheureusement Sha1 est encore extrêmement utilisé sur Internet et de nombreux projets se reposent sur cette fonction pour sécuriser des messages, ou tout simplement pour identifier des contenus comme c’est le cas pour le logiciel de gestion de version Git.

 

Github a publié hier un post de blog détaillant les mesures mises en œuvre afin de détecter et de prévenir ce type de collision sur leur système. « Générer une collision via une attaque de type force brute demande bien trop de puissance de calcul et cela ne devrait pas changer dans un avenir immédiat. L’attaque récente exploite des faiblesses identifiées au sein de Sha1 qui permettent de trouver des collisions bien plus rapidement. Cette technique laisse néanmoins un motif distinctif dans le binaire, que nous parvenons à détecter lorsque nous calculons le hash Sha1 d’un nouvel objet » explique la plateforme.

Github est en effet basé sur Git, le logiciel de gestion de version développé par Linus Torvalds. Ce programme utilise Sha1 pour générer des identifiants uniques qui permettent à la plateforme de manipuler l’ensemble des binaires et autres contenus mis en ligne sur la plateforme. Github explique que cette collision ouvre la voie à différents types d’attaques, qui pourraient permettre d’ajouter du code malveillant à un projet sans que les mainteneurs ne se rendent compte de la supercherie.

Linus Torvalds avait déjà réagi à l’annonce de la découverte de la collision par Google. Pour le père du kernel Linux, les conséquences de cette découverte ne sont pas si dramatiques que ce que l’on peut entendre pour Git, qui n’utilise pas Sha1 pour sa sécurité, mais uniquement pour l’identification des contenus. Il a néanmoins rappelé qu’un plan de transition vers une fonction de hachage plus solide était actuellement en cours. Pour l’instant, les plateformes s’appuyant sur Git peuvent donc mettre en place des rustines en attendant que le projet Git achève son passage à une nouvelle fonction de hachage.

Collision Sha-1 : Github prépare ses rustines

Source : L’article << Collision Sha-1 : Github prépare ses rustines >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

Par | 2017-03-21T14:27:13+00:00 mars 21st, 2017|Actualité|0 commentaire

Laisser un commentaire