Papier 2008 de Stephane Manuel qui laisse espérer une attaque en 2^51 :
http://eprint.iacr.org/2008/469.pdf
Repris ici par McDonald1,Hawkes,Pieprzyk pour une attaque plus concrète en 2^52 :
http://www.ictlex.net/wp-content/iacrhash.pdf
Mais annulé ensuite : http://eprint.iacr.org/2009/259 The cost evaluation for point 2 above was reported by Manuel in November 2008. We have recently discovered this evaluation to be incorrect

En 2009, c’est pas si facile :
http://www-rocq.inria.fr/secret/Stephane.Manuel/pdfs/C209_slides.pdf (broken link)

Le papier suivant réévalue le vecteur connu le plus efficace comme environ 2^69 :
http://www-roc.inria.fr/secret/Stephane.Manuel/pdfs/WCC09_paper.pdf (broken link)

Le papier de présentation suivant est surement la présentation la plus complète encore facilement trouvable en ligne : Stephane Manuel : Attaques par collision contre SHA-1 / Jounée codage-Cryptologie de Fréjus 2009
– hypothèse d’indépendance fausse dans certains cas (voir aussi p27, Indépendance des collisions locales fausse dans de nombreux cas)
– écarts entre probabilités mesurées et probabilités théoriques
– 70 pas : attaques pratiques inadaptées pour 80 pas
– 80 pas : attaques théoriques remises en cause

Et ici il n’a plus l’air si convaincu qu’il soit facile de casser sha-1 :
http://www.prism.uvsq.fr/index.php?id=116 5 mai 2011 – 15h30 : Stéphane Manuel (ATER – ESIAG Paris 12) – SHA-1, toujours en course ?

il s’avère que SHA-1 est toujours incluse dans le nouveau document (draft FIPS 180-4), soumis à commentaire par le NIST, qui vise à préciser les algorithmes standard de hachage sûr (SHS). Il en résulte que l’étude de la fonction SHA-1 continue de présenter un réel intérêt pratique. Nous nous proposons dans cet exposé de revenir sur l’historique des attaques par collision contre la fonction SHA-1. Puis, nous présenterons nos derniers résultats concernant le comportement des collisions locales qui constituent un des points clés des cryptanalyses de SHA-1.

En 2011, Marc Steves prend le relai avec le projet HashClash : http://code.google.com/p/hashclash/
et d’après cette présentation aurait tiré des leçons des déboires précédents et sur les moyens de trouver des collisions qui marchent vraiment : The problem about SHA-1 collisions CWI Amsterdam

A noter les attaque en pré-image sur md4 :
http://www.di.ens.fr/~leurent/files/MD4_FSE08.pdf