Les signatures hash des fichiers peut-être crackées

Sur les réseaux décentralisés comme eDonkey ou Gnutella, tous les fichiers sont identifiés par une signature unique, qu’on appelle hash dans le jargon technique. Ces hash sont essentiels pour s’assurer de télécharger le bon fichier, et essentiels au bon fonctionnement même du réseau. eDonkey, eMule, et Overnet utilisent l’algoritme de cryptage MD4 (Message Digest 4), alors que Gnutella, Kazaa ou encore Piolet se basent sur le SHA-1.

Or lors de la conférence Crypto 2004 qui s’est tenue à Santa Barbara en Californie, des bruits de couloirs ont fait dire que le SHA-1, à l’image de son grand frère le SHA-0, avait été craqué. Le professeur Felten, bien connu pour avoir été cassé le système SDMI de l’industrie du disque (leur première tentative avortée de standard DRM), pense en effet qu’une collision dans le système a été découverte. Une collision, c’est-à-dire la possibilité de générer deux fichiers ayant exactement le même hash.

Un rapport de recherche chinois paru le 16 août démontre également la présence d’une collision sur le MD5, un algoritme moins utilisé car plus faible, mais réputé jusque là efficace pour le P2P. Le MD4, a lui aussi été craqué.

Bien sûr, nul besoin de s’affoler. Les failles, même si elles existent, restent sans doute compliquées à exploiter. En théorie, il serait possible de les exploiter pour rendre inopérant le téléchargement d’un fichier particulier, en mélangeant deux fichiers (le « vrai » et le « craqué ») lors du téléchargement. En pratique, cela s’avère presque impossible. eDonkey ou eMule, par exemple, divisent chaque fichier en de multiples parties ayant chacunes leur propre hash MD4, ce qui renforce encore la difficulté.

Néanmoins au delà du P2P, si ces rumeurs étaient confirmées, la sécurité et l’authenticité des signatures électroniques basées sur ces algoritmes pourrait être remise en question, notamment dans le domaine bancaire.

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !