La collision de MD5 en code source s'il vous plait

Publié le: 16/11/2005 @ 15:49:52: Par zion Dans "Sécurité"

Le monde de la cryptographie a été largement secoué lorsqu'on a annoncé que l'algorithme MD5 n'était pas sûr et que, moyennant de nouveaux algorithmes, on pouvait créer une collision en moins d'une journée.

Créer une collision, cela signifie pouvoir donc regénérer un mot de passe qui, encodé en MD5, donnera le même résultat et pourra donc être utilisé comme si c'était le vôtre. Le MD5 est utilisé par exemples dans de nombreux projets PHP pour cacher le mot de passe en cas de vulnérabilité, ce qui avait moyennement bien fonctionné jusque la.

Seulement, même si l'algorithme était publique, aucun code source n'était rendu public dans ce sens, ce que Patrick Stach vient de réaliser. Avec son source, un MD4 peut être cassé en quelques secondes et un MD5 en 45 minutes sur un P4 1.6Ghz.

On risque donc maintenant de voir débarquer de nouveaux supers virus, supers trojans ou autres exploits qui utiliseront cette technique pour, par exemple, trouver votre mot de passe sur un forum phpBB compromis.

Test de l'HP Ipaq hw6515 Mobile Messenge... »« Le 1000GP enfin opérationnel, à vous l...

Liens

Travail de Stach (422 Clics)

Code source pour le MD5 (414 Clics)

Code source pour le MD4 (302 Clics)

Plus d'actualités dans cette catégorie

28-02Un groupe de ransomware affirme avoir piraté 200 Go de données internes d'Epic Games

25-01HP, une attaque de pirate informatique russe a volé certaines données des e-mails des employés

19-01Des millions de mots de passe ont été volés et personne ne l'a remarqué

09-01Les Russes utilisent des webcams piratées pour espionner les cibles des frappes aériennes

02-01Malware Android caché dans de nombreuses applications découvert : voici lesquels

Commentaires

Ppxl: La collision de MD5 en code source s'il vous plait

Et on procède comment pour contrer cela? On explique cela comment aussi aux gens?

Par Ppxl, Publié le 16/11/2005 @ 15:56:25

zion: La collision de MD5 en code source s'il vous plait

On utilise un autre algorithme et on oublie le MD5, sauf pour des choses non essentielles. Ou alors autant le laisser en clair :joce:

On parle de rijndael pour remplacer tout cela, et cocorico, c'est du belge :grin:

Sinon y a du SHA-256,SHA-512 et autres, ca doit aussi pouvoir le faire :grin:

Dernière édition: 16/11/2005 @ 16:00:08

Par zion, Publié le 16/11/2005 @ 15:59:19

gizmo: La collision de MD5 en code source s'il vous plait

Les gens vont peut-être enfin comprendre qu'on n'utilise pas un algo de hashing pour faire du cryptage de données :oh:

Par gizmo, Publié le 16/11/2005 @ 16:15:24

zion: La collision de MD5 en code source s'il vous plait

Oui, enfin si on cassait leur algo de cryptage ce serait pareil, ce serait la paniiique paniiiique :ddr555:

(non pas sur le périphériiiique)

Par zion, Publié le 16/11/2005 @ 16:33:49

cruciforme: La collision de MD5 en code source s'il vous plait

Trouver votre mot de passe sur un forum phpBB compromis

Je ne vois pas trop ce que ça change. S'ils ont le hash MD5, ils peuvent de toute façon se loguer en le tapant dans les cookies. Comme dit dans la news, ça trouvera une collision, donc probablement un autre mot de passe fonctionnel et pas NOTRE mot de passe. Je ne vois pas trop ce que ça change par rapport à avant pour ce cas là, on pouvait de toute façon s'identifier illégalement :oh:

Par cruciforme, Publié le 16/11/2005 @ 17:02:00

zion: La collision de MD5 en code source s'il vous plait

S'ils ont le hash MD5, ils peuvent de toute façon se loguer en le tapant dans les cookies.

Négatif, phpBB utilise un autologin basé sur un MD5 d'un id aléatoire qu'ils changent à chaque login, un truc assez complexe mais qui ne stocke pas du coup le mot de passe chez l'utilisateur et il faut avoir été connecté un jour pour l'avoir. Donc non, tu ne peux pas te logger sur un phpBB rien qu'avec le MD5 du mot de passe, le MD5 que tu as en cookie n'est pas cela.

Bon ok maintenant tu vas me dire que tu peux piquer le MD5 qui est stocké dans la table en question. Oui, c'est sur, mais si l'admin a viré l'auto-login ou que l'user ne l'a pas demandé, tu ne pourras pas, l'honneur est sauf, tu ne peux pas y arriver aussi simplement.

Par contre pour la collision, personne ne peut t'assurer que c'est le même mot de passe, c'est le principe même, je sais, mais il aura un mot de passe qu'il pourra utiliser en ton nom sur tout autre site qui utilise le MD5 et donc sur tout autre phpBB auquel tu serais inscrit avec le même mot de passe, bonjour les dégats. Et si en plus c'est le bon mot de passe, il pourra l'utiliser sur tout autre site même qui n'utilise pas le MD5.

Dernière édition: 16/11/2005 @ 17:26:30

Par zion, Publié le 16/11/2005 @ 17:25:18

cruciforme: La collision de MD5 en code source s'il vous plait

Ils n'avaient qu'à mettre un grain de sel et puis c'est tout :oh:

Par cruciforme, Publié le 16/11/2005 @ 20:26:25

Ppxl: La collision de MD5 en code source s'il vous plait

J'ai vu il n'y a pas très longtemps, mais je ne sais plus où, qu'il y a un site qui veux empêcher les gens qui multiplient leurs inscripions. Résultat trouvé : publier sur une page la liste triée des pseudos ayant les mêmes mots de passe !!! :aaah: