La question revient dans chaque forum de cybersécurité francophone : faut-il choisir Kali Linux ou Parrot OS pour débuter en pentest ? En 2026, les deux distributions dominent le marché des OS dédiés à la sécurité…
Chaque requête DNS que vous envoyez révèle votre activité en ligne à votre fournisseur d'accès, à des régies…
L'authentification par clé SSH protège vos serveurs contre 99 % des attaques automatisées basées sur les mots de…
En juin 2026, l'ANSSI a émis un avis d'urgence sur des vulnérabilités critiques dans Node.js 22.x et 20.x, dont plusieurs exploitables via…
pfSense et OPNsense partagent le même ADN FreeBSD, la même base de code d'origine, et pourtant ils ont suivi des chemins radicalement…
Le 15 avril 2026, la France a subi l'une des pires violations de données gouvernementales de son histoire. L'Agence Nationale des Titres…
Le Cyber Resilience Act (CRA), Règlement (UE) 2024/2847, est entré en vigueur le 10 décembre 2024. Mais c'est en juin 2026 que…
En juin 2026, Let's Encrypt sécurise 762 millions de sites web et émet 10 millions de certificats SSL par jour, gratuitement. Pendant…
Le 1er avril 2026, l'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP) a infligé une amende de 100 millions d'euros à…
This domain has been home to the SHAttered SHA-1 collision project since 2017, and is now a hub for cryptography, security and privacy reporting. The full origin story of the project, the two proof PDFs and the research credits live below.
shattered.io est un site éducatif indépendant consacré à la cryptographie, à la sécurité informatique, à la protection de la vie privée et aux technologies qui rendent certains systèmes vérifiablement équitables. Notre objectif est simple : expliquer des sujets techniques de manière claire, honnête et accessible, sans jargon inutile et sans raccourcis trompeurs.
Le nom du site renvoie à un moment marquant de l'histoire récente de la cryptographie. C'est ici qu'a été présentée la recherche SHAttered en 2017, la première démonstration pratique d'une collision sur la fonction de hachage SHA-1, menée conjointement par le CWI Amsterdam et Google. Cette page d'accueil vous présente le contexte et vous invite à parcourir les différents thèmes que nous couvrons.
Une fonction de hachage prend une donnée de taille quelconque (un fichier, un message, un certificat) et produit une empreinte de longueur fixe, censée identifier cette donnée de façon unique. En théorie, deux contenus différents ne devraient jamais aboutir à la même empreinte. Lorsque cela arrive malgré tout, on parle de collision, et c'est précisément ce que les chercheurs ont réussi à provoquer délibérément.
Le 23 février 2017, des équipes du CWI Amsterdam et de Google ont annoncé avoir produit la première collision pratique pour SHA-1, sous le nom de projet SHAttered. Concrètement, ils ont construit deux fichiers PDF différents qui partagent exactement la même empreinte SHA-1, à savoir la valeur 38762cf7f55934b34d179ae6a4c80cadccbb7f0a, tout en restant distincts lorsqu'on les analyse avec une fonction plus moderne comme SHA-256. Autrement dit, SHA-1 considérait ces deux documents comme identiques, alors qu'ils ne l'étaient pas.
Cette démonstration n'était pas un simple exercice théorique. Produire une telle collision a demandé une puissance de calcul colossale et une recherche mathématique poussée, mais elle a prouvé que l'attaque était à la portée d'acteurs disposant de ressources importantes. SHA-1, longtemps utilisé un peu partout, ne pouvait plus être considéré comme sûr pour les usages qui dépendent de l'unicité de l'empreinte.
Les empreintes de hachage servent de fondation à de nombreux mécanismes de confiance numérique. Voici quelques exemples concrets de ce qu'une collision peut compromettre :
C'est pour ces raisons que la communauté de la sécurité a accéléré l'abandon de SHA-1 au profit de fonctions plus solides après la publication de SHAttered.
Les deux PDF en collision ainsi que l'article scientifique qui décrit la méthode restent disponibles au téléchargement, pour quiconque souhaite examiner les preuves par lui-même :
Vous pouvez vérifier vous-même que les deux PDF donnent la même empreinte SHA-1 tout en produisant des empreintes SHA-256 différentes. C'est l'illustration la plus directe de ce que signifie une collision.
À partir de cette base, nous abordons un large éventail de sujets liés à la sécurité et à la confiance numérique : le fonctionnement des fonctions de hachage et leur évolution, les principes du chiffrement, la protection de la vie privée en ligne, et les systèmes dits provably-fair, c'est-à-dire conçus pour que leur équité puisse être vérifiée mathématiquement plutôt que prise pour argent comptant.
Chaque article est rédigé pour être lu sans connaissances préalables avancées, tout en restant rigoureux sur le fond. Que vous soyez développeur, étudiant, ou simplement curieux de comprendre ce qui se passe derrière les coulisses de la sécurité moderne, vous trouverez ici des explications pensées pour éclairer plutôt que pour impressionner.
Prenez le temps de parcourir les différentes sections du site. Chaque sujet est traité comme une porte d'entrée vers une meilleure compréhension des mécanismes qui protègent (ou parfois fragilisent) nos données au quotidien.
Beyond the original SHA-1 collision proof, the site now publishes ongoing coverage across cryptography, cybersecurity, privacy, cryptocurrency and provably-fair systems. Every article is editorial, lightly-opinionated and built on primary sources where possible.
