SHATERED

Bienvenue sur shattered.io

shattered.io est un site éducatif indépendant consacré à la cryptographie, à la sécurité informatique, à la protection de la vie privée et aux technologies qui rendent certains systèmes vérifiablement équitables. Notre objectif est simple : expliquer des sujets techniques de manière claire, honnête et accessible, sans jargon inutile et sans raccourcis trompeurs.

Le nom du site renvoie à un moment marquant de l’histoire récente de la cryptographie. C’est ici qu’a été présentée la recherche SHAttered en 2017, la première démonstration pratique d’une collision sur la fonction de hachage SHA-1, menée conjointement par le CWI Amsterdam et Google. Cette page d’accueil vous présente le contexte et vous invite à parcourir les différents thèmes que nous couvrons.

L’histoire de la collision SHA-1

Une fonction de hachage prend une donnée de taille quelconque (un fichier, un message, un certificat) et produit une empreinte de longueur fixe, censée identifier cette donnée de façon unique. En théorie, deux contenus différents ne devraient jamais aboutir à la même empreinte. Lorsque cela arrive malgré tout, on parle de collision, et c’est précisément ce que les chercheurs ont réussi à provoquer délibérément.

Le 23 février 2017, des équipes du CWI Amsterdam et de Google ont annoncé avoir produit la première collision pratique pour SHA-1, sous le nom de projet SHAttered. Concrètement, ils ont construit deux fichiers PDF différents qui partagent exactement la même empreinte SHA-1, à savoir la valeur 38762cf7f55934b34d179ae6a4c80cadccbb7f0a, tout en restant distincts lorsqu’on les analyse avec une fonction plus moderne comme SHA-256. Autrement dit, SHA-1 considérait ces deux documents comme identiques, alors qu’ils ne l’étaient pas.

Cette démonstration n’était pas un simple exercice théorique. Produire une telle collision a demandé une puissance de calcul colossale et une recherche mathématique poussée, mais elle a prouvé que l’attaque était à la portée d’acteurs disposant de ressources importantes. SHA-1, longtemps utilisé un peu partout, ne pouvait plus être considéré comme sûr pour les usages qui dépendent de l’unicité de l’empreinte.

Pourquoi une collision a-t-elle de l’importance

Les empreintes de hachage servent de fondation à de nombreux mécanismes de confiance numérique. Voici quelques exemples concrets de ce qu’une collision peut compromettre :

  • Les signatures numériques : signer un document revient souvent à signer son empreinte. Si deux documents partagent la même empreinte, une signature valable pour l’un l’est aussi pour l’autre, ce qui ouvre la porte à la substitution frauduleuse.
  • Les certificats : les certificats qui sécurisent les connexions web reposent sur des empreintes. Une collision peut permettre de fabriquer un certificat qui semble légitime.
  • Les mises à jour logicielles : un système qui vérifie l’intégrité d’une mise à jour par son empreinte pourrait accepter un fichier malveillant présentant la même valeur qu’un fichier de confiance.

C’est pour ces raisons que la communauté de la sécurité a accéléré l’abandon de SHA-1 au profit de fonctions plus solides après la publication de SHAttered.

Les fichiers et le document de recherche

Les deux PDF en collision ainsi que l’article scientifique qui décrit la méthode restent disponibles au téléchargement, pour quiconque souhaite examiner les preuves par lui-même :

  • Premier PDF en collision : https://shattered.io/static/shattered-1.pdf
  • Second PDF en collision : https://shattered.io/static/shattered-2.pdf
  • Article de recherche complet : https://shattered.io/static/shattered.pdf

Vous pouvez vérifier vous-même que les deux PDF donnent la même empreinte SHA-1 tout en produisant des empreintes SHA-256 différentes. C’est l’illustration la plus directe de ce que signifie une collision.

Explorez nos thématiques

À partir de cette base, nous abordons un large éventail de sujets liés à la sécurité et à la confiance numérique : le fonctionnement des fonctions de hachage et leur évolution, les principes du chiffrement, la protection de la vie privée en ligne, et les systèmes dits provably-fair, c’est-à-dire conçus pour que leur équité puisse être vérifiée mathématiquement plutôt que prise pour argent comptant.

Chaque article est rédigé pour être lu sans connaissances préalables avancées, tout en restant rigoureux sur le fond. Que vous soyez développeur, étudiant, ou simplement curieux de comprendre ce qui se passe derrière les coulisses de la sécurité moderne, vous trouverez ici des explications pensées pour éclairer plutôt que pour impressionner.

Prenez le temps de parcourir les différentes sections du site. Chaque sujet est traité comme une porte d’entrée vers une meilleure compréhension des mécanismes qui protègent (ou parfois fragilisent) nos données au quotidien.

CryptographieCybersécurité

Derniers articles

CybersécuritéSécurité des mots de passe : la longueur, le hachage et les gestionnairesJun 10, 2026CybersécuritéSécurité en ligne : protéger ses données, ses comptes et ses connexionsJun 10, 2026CybersécuritéHTTPS et TLS : comment votre connexion est protégéeJun 10, 2026CybersécuritéHameçonnage : reconnaître la tromperie et réagirJun 10, 2026