Le monde de la cryptographie a été largement secoué lorsqu'on a annoncé que l'algorithme MD5 n'était pas sûr et que, moyennant de nouveaux algorithmes, on pouvait créer une collision en moins d'une journée.
Créer une collision, cela signifie pouvoir donc regénérer un mot de passe qui, encodé en MD5, donnera le même résultat et pourra donc être utilisé comme si c'était le vôtre. Le MD5 est utilisé par exemples dans de nombreux projets PHP pour cacher le mot de passe en cas de vulnérabilité, ce qui avait moyennement bien fonctionné jusque la.
Seulement, même si l'algorithme était publique, aucun code source n'était rendu public dans ce sens, ce que Patrick Stach vient de réaliser. Avec son source, un MD4 peut être cassé en quelques secondes et un MD5 en 45 minutes sur un P4 1.6Ghz.
On risque donc maintenant de voir débarquer de nouveaux supers virus, supers trojans ou autres exploits qui utiliseront cette technique pour, par exemple, trouver votre mot de passe sur un forum phpBB compromis.
Créer une collision, cela signifie pouvoir donc regénérer un mot de passe qui, encodé en MD5, donnera le même résultat et pourra donc être utilisé comme si c'était le vôtre. Le MD5 est utilisé par exemples dans de nombreux projets PHP pour cacher le mot de passe en cas de vulnérabilité, ce qui avait moyennement bien fonctionné jusque la.
Seulement, même si l'algorithme était publique, aucun code source n'était rendu public dans ce sens, ce que Patrick Stach vient de réaliser. Avec son source, un MD4 peut être cassé en quelques secondes et un MD5 en 45 minutes sur un P4 1.6Ghz.
On risque donc maintenant de voir débarquer de nouveaux supers virus, supers trojans ou autres exploits qui utiliseront cette technique pour, par exemple, trouver votre mot de passe sur un forum phpBB compromis.
Liens
Travail de Stach (439 Clics)
Code source pour le MD5 (432 Clics)
Code source pour le MD4 (322 Clics)
Editer un commentaire