Actuellement deux systèmes de cryptographie majeurs sont utilisés par les éditeurs de logiciels de P2P pour isoler les fichiers sur leurs réseaux : le MD5 et le SHA-1. Or les deux algoritmes pourraient avoir été crackés.

Sur les réseaux décentralisés comme eDonkey ou Gnutella, tous les fichiers sont identifiés par une signature unique, qu’on appelle hash dans le jargon technique. Ces hash sont essentiels pour s’assurer de télécharger le bon fichier, et essentiels au bon fonctionnement même du réseau. eDonkey, eMule, et Overnet utilisent l’algoritme de cryptage MD4 (Message Digest 4), alors que Gnutella, Kazaa ou encore Piolet se basent sur le SHA-1.

Or lors de la conférence Crypto 2004 qui s’est tenue à Santa Barbara en Californie, des bruits de couloirs ont fait dire que le SHA-1, à l’image de son grand frère le SHA-0, avait été craqué. Le professeur Felten, bien connu pour avoir été cassé le système SDMI de l’industrie du disque (leur première tentative avortée de standard DRM), pense en effet qu’une collision dans le système a été découverte. Une collision, c’est-à-dire la possibilité de générer deux fichiers ayant exactement le même hash.

Un rapport de recherche chinois paru le 16 août démontre également la présence d’une collision sur le MD5, un algoritme moins utilisé car plus faible, mais réputé jusque là efficace pour le P2P. Le MD4, a lui aussi été craqué.

Bien sûr, nul besoin de s’affoler. Les failles, même si elles existent, restent sans doute compliquées à exploiter. En théorie, il serait possible de les exploiter pour rendre inopérant le téléchargement d’un fichier particulier, en mélangeant deux fichiers (le « vrai » et le « craqué ») lors du téléchargement. En pratique, cela s’avère presque impossible. eDonkey ou eMule, par exemple, divisent chaque fichier en de multiples parties ayant chacunes leur propre hash MD4, ce qui renforce encore la difficulté.

Néanmoins au delà du P2P, si ces rumeurs étaient confirmées, la sécurité et l’authenticité des signatures électroniques basées sur ces algoritmes pourrait être remise en question, notamment dans le domaine bancaire.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !