Une equipe de chercheur à réussi avec une pauvre PS3 et en 2 jours (en utilisant le GPU de la console plutot que son proc') à creer deux executables différents possédant une même signateure MD5. Ils ont creés un fichier 'gentil', generé son MD5, creé un fichier 'agressif', rajouter de la merde inutile dans l'exe pour que son HASH soit identique au premier.
Résultat, une signature MD5 (garante de l'integrité du fichier (modification par un hack3rz, ou alteration du fichier pendant le transfert) permettant le une tracabilité accrue du fichier) n'est plus valable. Ca va pas tarder à s'agiter dans les milieux Unixiens fan de cette signature...
Ils ont renouvellé l'exploit avec 11 fichiers PDF différents ayant la meme signature.
Reste encore les algo SHA-256 plus robustes et plus surs...
La faille n'est pas nouvelle, mais ce genre de calcul se faisait plutot avec un cluster d'une trentaine de PC habituellement.
Des détails ici [EN]Cub3, All rights reserved 2006-2007
www.c-prime.net