Adrien Leguay
Il en aura fallu, du temps, pour avoir la peau du Sha 1. Au cours de 2013-2014, les principales autorités de certification commerciales (Thawte, Comodo, Symantec…) supportaient déjà « chatoux », alias Sha256, et la dépréciation de Sha1, techniquement remplacé depuis 2011, faisait l’objets de nombreuses annonces. « Janvier 2016, fin des certificats Développeur » promettait Microsoft. Et fin de la reconnaissance des certificats Serveur dès janvier 2017, continuait Redmond mi-2015. Mais il en va souvent des certificats comme d’IP v4. Certains standards ont la vie dure, et les dates d’enterrement sont indéfiniment reportées
Lorsque les chercheurs de Google et du CWI d’Amsterdam parviennent, après deux ans de recherche et des moyens techniques impressionnants, à obtenir une collision (un même condensat à partir de deux contenus différents), nombre de médias ont immédiatement prédit une apocalypse numérique. D’une certaine manière, ils n’ont pas tout à fait tort.
Bien sûr, les grands acteurs vont tenter d’accélérer le processus de dépréciation de Sha1. Avant que l’on ne trouve sur le marché à la fois des systèmes assez puissants pour « casser » ce mécanisme de chiffrement et une version exploitable de la méthode de cassage, Microsoft aura largement eu le temps de sortir 2 versions différentes de System Center et Samsung une bonne centaine de modèles d’équipements téléphoniques de nouvelle génération. Webmestres et architectes systèmes, du moins les plus consciencieux et pour les 10 années à venir, ne jureront plus que par Sha256, et l’intégralité des services Cloud auront mis à niveau leurs panoplies de chiffrement. C’est juré.
Reste l’effet du « Windows 98 éternel » ou du Service Pack maudit, celui que l’on oublie systématiquement de mettre à jour ou de déployer. L’effet qui, souvent combiné avec une erreur d’intégration ou une mauvaise pratique d’administration, permettra l’usage d’un futur « L0phtcrack Sha1 » par une horde de dangereux pirates affublés de cagoules et de gants cirés de noir. Contre ce risque encore très lointain, il n’y a pas grand-chose à faire. Pas plus qu’il n’a été possible aux usagers de Yahoo ou aux abonnés d’Ashley Madison de prévoir le pillage massif de leurs données personnelles, pourtant garanties contre toute attaque de pirates. Le « petit » Sha est mort, l’ignorer serait irresponsable, s’affoler serait prématuré.
