Une équipe de recherche vient de briser une des pièces maitresse de la sécurité sur Internet : les certificats SSL. Utilisés notamment lors des connexions avec les services bancaires et lors de transactions HTTPS de nombreux sites.
Pour réaliser cet exploit, les hackers ont utilisés des certificats basés sur MD5. Pour faire simple, MD5 est une fonction cryptographique qui permet la signature électronique d’un fichier par une empreinte numérique (clef de 128 bits) unique pour un fichier. Deux fichiers différents ne peuvent donc pas avoir la même empreinte numérique. En 2004 une équipe chinoise à découvert qu’il était possible d’obtenir une même signature MD5 pour deux fichiers différents. C’est précisément cette vulnérabilité qui a été utilisée.
Le plus étonnant c’est que le calcul a été rendu possible par l’utilisation d’une batterie de consoles PS3.
Toutefois il faut rappeler que de nombreux certificats sont basés sur une empreinte SHA-1 et d’autre part Microsoft et Firefox ont annoncés de concert qu’ils allaient bannir le certificat rogue utilisé pour créer cette faille.
Source : Hackaday.com