Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Les pirates ont-ils compris avant les autres les avantages du Cloud ?
Un hacker exploite AmazonEC2 pour casser l'algorithme SHA-1

Le , par Hinault Romaric, Responsable .NET
Les algorithmes de hachage et de chiffrement sont sans cesse découverts, améliorés et cassés par des hackers (et/ou par des pirates) depuis des décennies.

Un hacker allemand, du nom de Thomas Roth, passionné de sécurité, vient de faire une démonstration préoccupante. Il a utilisé la plateforme Amazon EC2 pour décrypter les mots de passes chiffrés avec l’algorithme de hachage SHA-1 (Secure Hash Algorithm) .

L’algorithme de hachage SHA-1 a été mis sur pied par une équipe de chercheurs chinois et date de 2005. Il ne pouvait, de toute façon, plus être considéré comme sûr. Mais ce qui est impressionnant dans la réalisation de Roth n’est pas tant le fait d’avoir réussi cet exercice ou l’approche utilisée (la force brute), mais la technologie employée.

En fait, Roth a exploité les capacités de calcul de haute performance offertes par le Cloud pour réaliser en quelques minutes, et en investissant à peine 2$ pour la location des ressources, une œuvre qui d'habitude demande beaucoup plus de temps et d'argent.

Pour mémoire, il y a 12 mois, un hacker plus ou moins pirate avait créé un service en ligne capable de cracker en 20 minutes environ un mot de passe Wi-Fi, ce qui en principe se fait en 120 heures avec un PC dual-core.

Malgré le fait que l’algorithme de hachage SHA-1 s’utilise de moins en moins dans les applications récentes, il reste néanmoins un élément utilisé dans diverses applications de sécurité encore largement utilisés, y compris SSL (Secure Socket Layer), Transport Layer Security et S/MIME protocols.

Pour les experts en sécurité, le Cloud Computing offre la possibilité aux pirates d’exploiter celui-ci pour leurs propres intérêts néfastes.

Les pirates semblent avoir compris les autres avantages que peut offrir le Cloud.

Source : Description de la méthode de Thomas Roth

Et vous ?

Pensez-vous que le Cloud peut accroitre l’activité des pirates ?
Et qu'ils ont compris avant les autres l'intérêt de cette technologie ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de jayfaze jayfaze - Membre actif http://www.developpez.com
le 19/11/2010 à 15:43
C'est lui le premier a avoir casse ls SHA-1 ou bien ca a deja ete fait avant ?
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior http://www.developpez.com
le 19/11/2010 à 15:52
Salut,

C'est pas une première du tout, mais lui le fait pour 2$ et en quelques minutes... avec un PC tout ce qu'il y a de normal

Cordialement,
Avatar de kuranes kuranes - Membre éclairé http://www.developpez.com
le 19/11/2010 à 15:52
Avec un ordinateur quantique, le SHAT aurait été à la fois crypté et décrypté...
Avatar de Marco46 Marco46 - Expert éminent http://www.developpez.com
le 19/11/2010 à 16:02
Un hacker allemand, du nom de Thomas Roth, passionné de sécurité, vient de faire une démonstration préoccupante. Il a utilisé la plateforme Amazon EC2 pour décrypter les mots de passes chiffrés avec l’algorithme de hachage SHA-1 (Secure Hash Algorithm) .

Raah le vocabulaire !!!

C'est pas un algo de chiffrement. Donc c'est pas un décryptage.

Sinon d'après ce qui est marqué sur la source, il s'agit de trouver à quels mots de passes correspondent les hashs de ce fichier texte.

Les mots de passes d'origines sont d'une longueur 1 à 6 caractères et il n'y a pas de salage (en tout cas l'auteur n'en fait pas mention).

Donc bon ... Il faut relativiser ...
Avatar de jayfaze jayfaze - Membre actif http://www.developpez.com
le 19/11/2010 à 16:07
oui ! voici les stats :

Compute done: Reference time 2950.1 seconds
Stepping rate: 249.2M MD4/s
Search rate: 3488.4M NTLM/s

Donc en 49 minutes, sans salage en effet.

Raah le vocabulaire !!!

C'est pas un algo de chiffrement. Donc c'est pas un décryptage.

OUI !
Avatar de jkakim jkakim - Membre régulier http://www.developpez.com
le 19/11/2010 à 16:55
C'est vraiment pas un algo de chiffrement...
Avatar de atha2 atha2 - Membre éprouvé http://www.developpez.com
le 19/11/2010 à 18:49
Citation Envoyé par Hinault Romaric  Voir le message
Malgré le fait que l’algorithme de hachage SHA-1 s’utilise de moins en moins dans les applications récentes, il reste néanmoins un élément utilisé dans diverses applications de sécurité encore largement utilisés, y compris SSL (Secure Socket Layer), Transport Layer Security et S/MIME protocols.

SSL, de toute façon ne devrait plus être utilisé. Il devrait être remplacer par TLS. Pour TLS, SHA-1 est effet utilisé mais si je ne me trompe pas, ce n'est pas exploitable : les parties critiques utilisent SHA-256.
Avatar de cs_ntd cs_ntd - Membre éprouvé http://www.developpez.com
le 19/11/2010 à 19:57
Il n'en reste pas moins que l'utilisation du clouding de cette manière est assez "intéressante", et, à mon avis, devrait se développer... (ça à l'air de bien marcher...). Je pense que c'est une affaire à suivre
Avatar de minus92 minus92 - Membre à l'essai http://www.developpez.com
le 24/11/2010 à 14:34
Bonjour,

Mon petit doigt me dit que la force brute ce n'est pas fufute (ce n'est pas la bonne méthode). Avec un peu de malice, on fait péter des protections.

A 2$ cela me semble un bon rapport qualité/prix

Cloud un avantage ? Euh...

Pour ce qui est de sucré les fraises...
Offres d'emploi IT
Développeur - software craftsman (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Architecte de données (H/F)
Société Générale - Ile de France - Ile de France
Architecte fonctionnel et applicatif (H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil