La signature électronique a été contrefaite !
Le très instructif site internet d'informations scientifiques
Quelque chose est sûr : d'ici peu de temps, il va y avoir beaucoup de types qui vont se faire beaucoup de soucis dans beaucoup de sociétés... Allez... Une aspirine ne sera pas de trop.
Futura Sciences
nous relate ici comment deux chercheurs sont parvenus à modifier le contenu d'un document signé électroniquement, sans pour autant annuler la validité de ladite signature. Pour faire simple, la manipulation consistait à glisser deux documents dans le même fichier Postscript, le premier visible, tandis que le deuxième restait caché. Puis, grâce à une manipulation du nom (ou label) du fichier caché, via une attaque dite de "collision" contre l'algorithme qui a été utlisé afin de générer la signature électronique, ils ont pu interchanger les fichiers visibles et cachés. Résultat des courses : nos deux chercheurs ont donc réussi à interchanger le contenu visible avec le contenu caché, tout en conservant une signature électronique valable ! L'idée est de connaître la nature du fichier caché, signé électroniquement, afin d'obtenir puissance et gloire à travers son anarque. Nos estimés collègues de Futura Sciences
précisent, au demeurant, qu'il ne s'agit pas là de l'exploitation d'une faille qui serait présente dans l'algorithme, mais bien d'une attaque à proprement parler.Quelque chose est sûr : d'ici peu de temps, il va y avoir beaucoup de types qui vont se faire beaucoup de soucis dans beaucoup de sociétés... Allez... Une aspirine ne sera pas de trop.
15
Commentaires
Lire plus
Un lecteur HD-DVD dans la Xbox 360 ?
- Azureus 2.3.0.4, la grenouille qui grossit qui grossit…
- Linux Suse Professional 9.3 disponible
- Le film Max Payne se concrétise
- Antec présente le Sonata II
- Internet Explorer 7 prend la pose
- Telecom Italia : 248 millions pour Liberty Surf
- Gandi est à vendre
- Alienware : une Nvidia GeForce 7800 GTX à bord
- IGN : grosse vente en vue
Bien choisir son alimentation
- Editeurs poursuivis, la fin du P2P ?
- AMD dépose une plainte pour abus de position dominante contre Intel
- Le nouvel iPod prend des couleurs
- GeForce 7800 GTX : ça ne veut pas rentrer
- Google lance son lecteur multimédia
- Un nouvel hybride : le Samsung Digimax i50
- PCMark05 disponible
- Webo-dépendance
- Rachat d'Amen par Claranet, suite... - màj -
Liens commerciaux
Publicité
Dernières actus
A voir aussi
Actus et dossiers
Rien n'est jamais entierement sur
oui, totalement d'accord... Il y a même des choses plus "sous" que sûres
j'ai rien compris de ce qu'ils ont fait
tiens c'est marrant, j'ai un prof qui m'a dit l'année dernière que c'était rigoureusement impossible
C'est vraiment n'importe quoi!
J'aimerais savoir qui serait assez stupide pour créer un fichier signé contenant un document caché que des pirates pourraient s'amuser à interchanger (sans même pouvoir le modifier!).
Ce n'est pas une vraie modification : aucun des documents n'est modifié, ils sont justes intervertis.
Aucun intérêt donc.
faut se relire des fois...
c'est moi ou il manque un ou deux mots ?
![[:canaille]](http://img.infos-du-net.com/forum/images/perso/canaille.gif)
![[:el awrence]](http://img.infos-du-net.com/forum/images/perso/el awrence.gif)
Puis, grâce à une manipulation du nom (ou label) du fichier caché, via une attaque dite de "collision" contre l'algorithme qui a été utlisé afin la signature électronique
rahhhh ces claviers qui n'ecrivent pas tout ce qu'on pense
ayé j'ai compris
c quand même assez limité comme attaque, et puis j'sais pas signer à la souris moi
Les choses sont expliquees bien plus simplement sur le document original
http://www.cits.rub.de/MD5Collisions/
rha merde
je pense trop vite pour mon clavier
http://www.cits.rub.de/MD5Collisions/
Personnellement, je trouve l'explication de Pete Boule beaucoup plus claire.
D'après le texte original, on pourrait penser que ce sont deux documents différents, alors que c'est le même à quelques bits près.
Cela n'a rien à voir avec l'attaque prévue contre eMule, qui prévoit des fichiers complètement différents.
Mais je retire ce que je disais : il y a quand même moyen d'exploiter cette technique, quoique les fichiers postcript...
http://www.cits.rub.de/MD5Collisions/
j'ai bien compris d'après l'article de futura science ^^
Les aspects légaux vont rapidement entrer en jeu. La signature electronique à ma connaissance à valeur légale.
Pareil pour les lettre recommandé electronique de la poste.
Nos estimés collègues de Futura Sciences précisent, au demeurant, qu'il ne s'agit pas là de l'exploitation d'une faille qui serait présente dans l'algorithme, mais bien d'une attaque à proprement parler.
C'est clairement à mon sens un défaut d'implémentation que l'on pourrait comparer aux déboires récents des navigateurs en regard des onglets.
C'est vraiment n'importe quoi!
J'aimerais savoir qui serait assez stupide pour créer un fichier signé contenant un document caché que des pirates pourraient s'amuser à interchanger (sans même pouvoir le modifier!).
Ce n'est pas une vraie modification : aucun des documents n'est modifié, ils sont justes intervertis.
Aucun intérêt donc.
Sauf si tu signes un document avec contenu en approbation devant quelqun et que juste ensuite le document signé est interchangé.
Tu as validé un document dont tu ne peux plus etre assuré du contenu in fine
Génial pour faire des fausses factures électroniques !!!
![[:speedfightor]](http://img.infos-du-net.com/forum/images/perso/speedfightor.gif)
"Vite mon mulot !"