Cinq ans, c'est le temps qu'il a fallu au NIST (National Institute of Standards and Technology) pour déterminer le vainqueur de son concours lancé en 2007 pour définir un nouvel algorithme de hachage cryptographique dans la continuité des SHA (prononcé "cha") pour "Secure Hash Algorithm" ou Algorithme de Hachage Sécurisé. Ces algorithmes ont pour fonction de crypter un message (La théorie de l'information fut mise au point pour déterminer mathématiquement le taux d’information transmis dans la communication d’un message par un canal de communication, notamment en présence de parasites appelés...) de manière à ce que le résultat, appelé empreinte, soit dénué d'information mais reste unique pour chaque suite de caractère. Ainsi, si on recalcule l'empreinte d'un message et que celui-ci ne correspond pas à l'empreinte initialement transmise avec le message, on peut affirmer que celui-ci a été modifié ou corrompu.

A l'époque de la mise en place du projet (Un projet est - dans un contexte professionnel - une aventure temporaire entreprise dans le but de créer un produit ou un service unique:), les participants s'apprêtaient déjà à livrer un long combat. La pré-sélection à elle seule devait se dérouler sur un an. Le 31 octobre 2008, le NIST clôturait son appel à candidature avec un total ( Total est la qualité de ce qui est complet, sans exception. D'un point de vue comptable, un total est le résultat d'une addition, c'est-à-dire une somme. Exemple : "Le total des dettes". En physique le total n'est pas forcément...) de 64 soumissions. A peine un mois (Le mois (Du lat. mensis «mois», et anciennement au plur. «menstrues») est une période de temps arbitraire.) et demi après, le 9 décembre 2008, l'institut annonçait la liste des 53 candidats invités à prendre part au premier tour. Un fort écrémage s'en est suivi 6 mois après lors de la publication de la liste des participants au second tour où le NIST a choisi de ne retenir que 14 candidats, soit le quart des équipes encore en lice. Pour atteindre l'objectif que s'était fixé le NIST pour la finale, c'est-à-dire un groupe restreint de 5 candidats, l'institut a impliqué une large communauté d'experts et de connaisseurs en chiffrement (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel on peut rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de...) dans le processus de décision. Il a ainsi organisé quelques conférences qui ont eu pour effet d'attirer l'attention d'un public d'avertis et de les mobiliser sur l'événement en leur proposant de leur transmettre leurs retours par le moyen d'un forum ou d'une mailing-list créée à cet effet. Les réactions ont été nombreuses, que ce soit avant ou après les conférences. Le NIST a donc pu s'appuyer sur ces retours collectés ainsi que sur la révision effectuée en interne (En France, ce nom désigne un médecin, un pharmacien ou un chirurgien-dentiste, à la fois en activité et en formation à...) pour procéder à la sélection des cinq finalistes, dont la liste a été diffusée le 9 décembre 2010.

Les équipes BLAKE (GBR/SUI), Grøstl (AUT/DAN), JH (SGP), Keccak (BEL/ITA), and Skein (ALL/USA) ont ainsi pu finaliser leur algorithme lors de la 3e et dernière phase (Le mot phase peut avoir plusieurs significations, il employé dans plusieurs domaines et principalement en physique :) du concours d'une durée de 2 mois avant de devoir livrer le produit au public le 31 janvier 2011. Ceux-ci ont fait l'objet (De manière générale, le mot objet (du latin objectum, 1361) désigne une entité définie dans un espace à trois dimensions, qui a une fonction précise, et qui peut être désigné par une étiquette verbale. Il est défini par les relations...) d'une consultation publique de plus d'une année (Une année est une unité de temps exprimant la durée entre deux occurrences d'un évènement lié à la révolution de la Terre autour du Soleil.). Une dernière conférence organisée en mars 2012 a permis de collecter une masse (La masse est une propriété fondamentale de la matière qui se manifeste à la fois par l'inertie des corps et leur interaction gravitationnelle.) importante de données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) de la part de la communauté de cryptographie (La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages (assurant confidentialité, authenticité et intégrité) en s'aidant...) avant de mener une dernière révision en interne. Les résultats ont été dévoilés le 2 octobre 2012, proclamant l'équipe Keccak grand gagnant de ce concours de la nouvelle génération de SHA.

Reste que ce choix ne devrait pas impacter immédiatement l'utilisation des fonctions de hachage actuelles. En effet, lors de la mise en place du concours en 2007, le NIST évoquait la catastrophe (Une catastrophe est un événement brutal, d'origine naturelle ou humaine, ayant généralement la mort et la destruction à grande échelle pour conséquence.) qu'engendrerait une attaque réussie sur la famille SHA-2, derniers nés de la lignée et regroupant les SHA-256 et SHA-512 (basés sur des tailles de blocs différentes). Pourtant réputé comme très solide, il aurait suffit d'une seule attaque réussie pour mettre à mal le système de signatures des agences fédérales américaines. Le NIST portait aussi à l'époque de forts doutes sur la longévité du fameux SHA-1, au vu du grand intérêt suscité par la communauté de cryptanalyse. Cet algorithme vieux de 17 ans (1995) est toujours le plus utilisé de nos jours (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début (par rapport à minuit heure locale) et sa durée...), malgré la découverte de failles théoriques en 2005. Mais bien que de multiples tentatives d'attaques ont eu lieu depuis, aucune n'a semble-t-il abouti de manière concrète. Les algorithmes SHA-1 et SHA-2 restent donc des valeurs sûres, mais pour combien de temps (Le temps est un concept développé pour représenter la variation du monde : l'Univers n'est jamais figé, les éléments qui le composent bougent, se transforment et évoluent pour l'observateur qu'est l'homme. Si on considère...) encore ?

C'est en effet la question que s'est dernièrement posé un expert qui s'est intéressé aux possibilités d'utilisation des ressources du "Cloud Computing" pour réussir à attaquer l'algorithme du SHA-1. L'une des principales attaques utilisées contre les algorithmes de hachage cryptographique consiste à profiter du fait qu'aucun d'entre eux ne peut totalement s'assurer qu'une empreinte est unique. En effet, avec les connaissances actuelles, il existera toujours une possibilité qu'une suite de caractères possède la même empreinte qu'une autre suite de caractères. Cette attaque s'appelle l'attaque par collision (On appelle collision le choc entre deux objets.). Le principe d'un bon algorithme se base donc sur la difficulté et le temps mit pour trouver une suite de caractères donnant la même empreinte que celle que l'on étudie. Hors, avec la généralisation du Cloud Computing, un chercheur (Un chercheur (fem. chercheuse) désigne une personne dont le métier consiste à faire de la recherche. Il est difficile de bien cerner le métier de chercheur tant les...) en sécurité d'Intel Corp., Jesse Walker (qui fait d'ailleurs parti de l'équipe Skein, finaliste du concours), a évoqué la possibilité pour une organisation (Une organisation est) criminelle d'accéder, d'ici 2018, à suffisamment de ressources pour pouvoir cracker le SHA-1. Il suffira de louer pour un temps donné une grande quantité (La quantité est un terme générique de la métrologie (compte, montant) ; un scalaire, vecteur, nombre d’objets ou d’une autre manière de dénommer la valeur d’une collection ou un groupe de...) de ressources de calcul à un prix raisonnable et d'effectuer des attaques avec un grand nombre (Un nombre est un concept caractérisant une unité, une collection d'unités ou une fraction d'unité.) de suites de caractères. Une fois le processus réussi, toute personne malveillante pourra ainsi falsifier des documents officiels ou déjouer certains mécanismes de sécurité mis en place sur les sites Internet (Internet est le réseau informatique mondial qui rend accessibles au public des services comme le courrier électronique et le World Wide Web. Ses utilisateurs sont désignés par le néologisme « internaute ». Techniquement, Internet se...).

Heureusement pour les entités fédérales américaines et pour une grande partie des entreprises ou administrations du monde (Le mot monde peut désigner :) entier, l'arrivée du nouvel algorithme offre un recours supplémentaire dans le cas où le SHA-1 et/ou le SHA-2 venaient à être compromis. Mais ces vieux algorithmes restent encore des valeurs sûres, tant et si bien que le NIST conseille de ne pas passer directement à l'utilisation du SHA-3 et d'exploiter pour l'instant le SHA-2, qui date de 2001 mais a encore de beaux jours devant lui. Il nous reste tout de même à louer cette initiative préventive du NIST au travers de ce concours et surtout de la mise à disposition au grand public de ce nouvel outil (Un outil est un objet finalisé utilisé par un être vivant dans le but d'augmenter son efficacité naturelle dans l'action. Cette augmentation se traduit par la simplification des actions entreprises, par une plus grande...) SHA-3 sans restrictions de propriétés intellectuelles ou autres royalties.