Produits populaires
Deux cents PlayStation 3 pour voler votre argent
Actu suivante
Les PlayStation 3 ont décidément beaucoup d'usages : en plus de permettre de jouer et de regarder des Blu-ray, elles peuvent aussi servir à voler de l'argent. La preuve en a été faite récemment, en utilisant la puissance brute du Cell (de plusieurs centaines, pour être exacte) pour créer un faux certificat digital. Explication.
HTTPS et MD5
Quand vous allez sur un site commercial pour acheter un bien, spécialement quand vous allez utiliser une carte de crédit, vous avez dû remarquer que l'adresse passe généralement en https (le s étant présent pour indiquer que la page est sécurisée). En simplifiant, un certificat numérique existe pour les pages https et un organisme de certification vérifie que le site que vous visitez est bien ce qu'il prétend être en utilisant ce certificat. Le problème, c'est bien évidemment la transmission de ce certificat : alors que les grandes sociétés utilisent une transmission chiffrée avec un algorithme SHA-1 (ou un autre algorithme considéré comme sûr), certains utilisent encore le MD5 comme base pour le chiffrement, alors qu'il s'agit dans les faits d'un algorithme de hachage.
L'exploitation de la faille
Le MD5 est un algorithme qui date de 1991 et il a un gros défaut : avec une bonne puissance de calcul, il est possible de trouver deux fichiers différents qui ont la même signature numérique. Il est donc facile de voir à quoi peuvent servir les deux cents PlayStation 3 citées (même si le même travail peut être effectué avec une armée de PC zombies) : arriver à trouver un fichier qui a la même signature numérique que le certificat, ce qui permet de faire croire que le site (frauduleux) que vous visitez est le site original. Des chercheurs ont essayé, ils ont, semble-t-il, réussi, ce qui est évidemment un gros problème pour la sécurité des transactions sur le Net. Reste que les organismes de certification importants utilisent des méthodes plus fiables que le simple md5, ce qui limite évidemment les risques (le SHA-1 est encore considéré comme sûr).
Source : NTYTimes
-
Actualité précédente
Bon anniversaire... Core Duo (3 ans) -
Actualité suivante
Les ventirads, plus c'est grand,...
Hummm... Y'a t'il une méthode pour savoir si un site utilise MD5 ou SHA-1 ?
L'article laisse sous entendre que SHA-1 n'est pas un algo de hachage, alors qu'il l'est au même titre que MD5.
Ne pas confondre chiffrement et autorité de certification.
Effectivement md5 n'est plus considéré comme sur. Si je suis un site qui met en place un certificat, je vais pas prendre une PKI qui utilise une méthode non sur. C'est complètement contradictoire avec le rôle d'un certificat. Je me demande s'il existe vraiment des PKI reconnue avec MD5. Encore un hoax made in Sony!
Ne pas confondre chiffrement et autorité de certification. Effectivement md5 n'est plus considéré comme sur. Si je suis un site qui met en place un certificat, je vais pas prendre une PKI qui utilise une méthode non sur. C'est complètement contradictoire avec le rôle d'un certificat. Je me demande s'il existe vraiment des PKI reconnue avec MD5. Encore un hoax made in Sony!
Faut arreter avec Sony, ça vient pas de chez eux, là...
Y a bien des gens qui certifient avec du MD5 (et oui, c'est con)
C'est con de faire des tests avec des PS3, ça a été démonté avec des pc zombies (dit dans l'article), coup de marketing de sony point bar, puisque c'est pas le procédé mis en avant mais du matériel. ET? combien de psp?
De plus, il faut pouvoir cryptanalyser en un temps relativement court pour ne pas alerter l'utilisateur. Or dans cet article aucun temps n'est annoncé. C'est juste dit, qu'avec 200 PS3 on trouve 2 hachages identiques.
cool!
Juste une remarque !
Règle de conjugaison de primaire : Deux CENT et pas DEUX CENTS !
Règle de base : cent et vingt s'accordent s'il y en a plusieurs (ici deux) et qu'ils ne sont pas suivis d'un autre nombre.
C'est énervant, à la longue, ces gens qui reprennent sans savoir...
Petit rappel de grammaire pour celui qui pensait que deux cents ne prenait pas de "s" :
20 et 100 s'accordent quand ils sont multipliés par un nombre sans être suivis par un autre nombre.Exemples:
* quatre-vingts
* quatre-vingt-trois
* quatre cents
* quatre cent vingt et un
Mode troll on: "1 seule PS3 a suffit à me voler 399€..." Mode troll off
juste une remarque !
c'est une règle de grammaire, pas de conjugaison
20 et 100 s'accordent quand ils sont multipliés par un nombre sans être suivis par un autre nombre.
deux cents consoles
deux cent une consoles
Le SHA-1 a été collisionné en 2^63 opérations via une attaque ciblée alors que MD5 est collisionnable en 2^65 opérations par force brute.
Le SHA-1 n'est guère plus rassurant que le MD5. Si tant est que l'on soit inquiet....
Le SHA-1 est en cours d'abandon , notamment en monétique, ou le standard actuel est le SHA-256.
@imer5: Merci de t'abstenir de ne pas faire d'affirmations péremptoires alors que tu ne sais pas, de toute évidence. La PS3 est très utilisée en calcul scientifique car elle a une bonne puissance de calcul, elle n'est pas chère et bénéficie d'un support Linux. Un ami à moi travaille aussi avec des PS3 sur les courants marins.
Voici le nom des mecs "du marketing Sony" qui ont publié le papier.
Alexander Sotirov
Independent security researcher,
New York, USA
http://www.phreedom.org/
Marc Stevens
Centrum Wiskunde & Informatica (CWI),
Amsterdam, The Netherlands
http://homepages.cwi.nl/~stevens/
News at the CWI website: English, Nederlands.
Jacob Appelbaum
Noisebridge, The Tor Project,
San Francisco, USA
http://www.appelbaum.net/
Arjen Lenstra
LACAL - LAboratory for Cryptologic ALgorithms,
EPFL - École Polytechnique Fédérale de Lausanne,
Lausanne, Switzerland
http://people.epfl.ch/arjen.lenstra
David Molnar
Computer Science Division,
University of California at Berkeley,
Berkeley, USA
http://www.cs.berkeley.edu/~dmolnar/
Dag Arne Osvik
LACAL - LAboratory for Cryptologic ALgorithms,
EPFL - École Polytechnique Fédérale de Lausanne
Lausanne, Switzerland
http://people.epfl.ch/dagarne.osvik
Benne de Weger
EiPSI - Eindhoven Institute for the Protection of Systems and Information,
TU/e - Eindhoven University of Technology,
Eindhoven, The Netherlands
http://www.win.tue.nl/~bdeweger/
a, o fet, c'et bien beau ces centaines (et meme surement beaucoup plus) de ps3 vendues a tavers le monde pour faire du calcul grace au prix grand public, mais, eu, je me pose une question, y'a t'il autant de joueur que de chercheur sur cette console? lol
Désolé mais je n'ai qu'un mot : lol !
C'est vrai que c'est une question à se poser ! Ou alors les chercheurs profitent des consoles (chose que je ferait!).
C'est moi ou l'article semble ... trompeur? SHA-1 comme indiqué est comme MD5 un algorithme de hashage et n'est pas plus sûr que ce dernier. Les deux étant considéré comme cassé.
En ce début novembre 2008 débutait le premier tour d'une compétition en vue de proposer une nouvelle fonction de hashage, les fonctions existantes ayant été cassée. Parmi les propositions, nous trouvons bien sûr MD6 par notre grand ami Ronald Rivest.
La compétition, mais je n'en suis pas sûr, s'écoule jusque 2012?
Enfin, tout ça pour dire que je ne vois pas trop l'intérêt de décrier MD5 en reprochant à des compagnies de l'utiliser plutôt que SHA-1 pour l'application présente
lol.
Le SHA1 est aussi pitoyable que le MD5 et tous les2 sont à proscrire. Le minimum requis dans le PCI-DSS c'est un SHA2 et pour la crypto de l'AES256.
lol. Le SHA1 est aussi pitoyable que le MD5 et tous les2 sont à proscrire. Le minimum requis dans le PCI-DSS c'est un SHA2 et pour la crypto de l'AES256.
avant de dire que le sha1 est aussi pitoyable tu ferais mieux d'aller faire un tour dans les certificats de ton navigateur , et si tu trouve autre chose que du SHA1 ou du MD5 tu m'appelle...
Je vois pas en quoi le fait que ce soit utilisé est contradictoire avec le fait que ces deux formats soient cassables... C'est juste que c'est visiblement assez récent et que leur succésseur n'a pas été choisis.
Règle de base : cent et vingt s'accordent s'il y en a plusieurs (ici deux) et qu'ils ne sont pas suivis d'un autre nombre.
C'est énervant, à la longue, ces gens qui reprennent sans savoir...
Faut croire qu'il y en a qui ont arrêté l'école au primaire
Faut croire qu'il y en a qui ont arrêté l'école au primaire![[:rofl]](http://img.infos-du-net.com/forum/images/perso/rofl.gif)
Heu perso, moi je fais un peu office de correcteur ambulant, et pourtant, cette règle, je l'ai oublié y'a 15 ans...
Heu perso, moi je fais un peu office de correcteur ambulant, et pourtant, cette règle, je l'ai oublié y'a 15 ans...
Peut-être, mais toi quand tu apportes une correction, elle est juste, au moins
avant de dire que le sha1 est aussi pitoyable tu ferais mieux d'aller faire un tour dans les certificats de ton navigateur , et si tu trouve autre chose que du SHA1 ou du MD5 tu m'appelle...
Oui lol mon gars...
Moi une partie de mon boulot c'est de faire de la crypto et de bosser avec des HSM. Alors c'est pas parce que les navigateurs sont à la ramasse...
Tout est bon pour faire acheter des PS ! Après les 16 consoles pour simuler un trou noir, voici les 200 consoles pour gagner de l'argent facile ! C'est quoi la prochaine étape lol ?
1 DS pour pirater le cerveau de Paris Hilton.... (Je sors)
Là tu la surestime un peu trop !