Brèche de Sécurité md5; Certificats de Sécurité SSL compromis

Publié le 30 décembre 2008 à 10:47 par heri dans: Développement web

Une équipe de “rechercheurs en sécurité” a announcé qu’ils ont réussi à délivrer des faux certificats SSL en utilisant une vulnérabilité de l’algorithme de hashage md5. La nouvelle a été annoncée publiquement à une conférence de sécurité à Berlin aujourd’hui, avec les détails complets ici.

Ils ont réussi grâce une vulnérabilité connue de la fonction de hashage md5, et en utilisant la puissance de calcul de 200 PS3 pour créer une fausse certificat de sécurité SSL. La console de jeu PlayStation 3 a été utilisée à cause de son microprocesseur Cell et ses capacités de calcul vectoriel, idéal pour des attaques par la force brute comme ici.

Ceci signifie que la protection par SSL affiché par les banques ou des sites de ecommerces est maintenant compromise.

Si vous avez acquis un certificat SSL de RapidSSL (un des fournisseurs de certificats SSL qui a été “craqué”), vous devez vérifier l’intégrité de vos systèmes, même s’il est peu probable qu’un vrai pirate puisse trouver en quelques jours les ressources pour réunir 200 PS3. Cherchez par exemple un fournisseur qui utilise l’algorithme sha-1 pour signer les certificats, au lieu de md5.

Comments Off tags: , ,  | 
1 Star2 Stars3 Stars4 Stars5 Stars (Pas de votes)

Commentaires

Pas encore de commentaire.