Deux cents PlayStation 3 pour voler votre argent

Publié le 06 janvier 2009 par Alex Ruben

La preuve en a été faite récemment, en utilisant la puissance brute du Cell (de plusieurs centaines, pour être exacte) pour créer un faux certificat digital. Explication.

HTTPS et MD5

Quand vous allez sur un site commercial pour acheter un bien, spécialement quand vous allez utiliser une carte de crédit, vous avez dû remarquer que l’adresse passe généralement en https (le s étant présent pour indiquer que la page est sécurisée). En simplifiant, un certificat numérique existe pour les pages https et un organisme de certification vérifie que le site que vous visitez est bien ce qu’il prétend être en utilisant ce certificat. Le problème, c’est bien évidemment la transmission de ce certificat : alors que les grandes sociétés utilisent une transmission chiffrée avec un algorithme SHA-1 (ou un autre algorithme considéré comme sûr), certains utilisent encore le MD5 comme base pour le chiffrement, alors qu’il s’agit dans les faits d’un algorithme de hachage. L’exploitation de la faille

Le MD5 est un algorithme qui date de 1991 et il a un gros défaut : avec une bonne puissance de calcul, il est possible de trouver deux fichiers différents qui ont la même signature numérique. Il est donc facile de voir à quoi peuvent servir les deux cents PlayStation 3 citées (même si le même travail peut être effectué avec une armée de PC zombies) : arriver à trouver un fichier qui a la même signature numérique que le certificat, ce qui permet de faire croire que le site (frauduleux) que vous visitez est le site original. Des chercheurs ont essayé, ils ont, semble-t-il, réussi, ce qui est évidemment un gros problème pour la sécurité des transactions sur le Net. Reste que les organismes de certification importants utilisent des méthodes plus fiables que le simple md5, ce qui limite évidemment les risques (le SHA-1 est encore considéré comme sûr).