En septembre dernier, nos confrères de CNIS se faisaient l’écho, dans nos colonnes, d’une vague d’articles traitant des limites de HTTPS, la version sécurisée du protocole HTTP par SSL. Ces limites pourraient être plus proches qu’on ne le pensait alors. De fait, une équipe internationale de chercheurs en sécurité informatique est parvenue, à l’aide d’un cluster de 200 consoles de jeu vidéo PlayStation 3, à exploiter un bug de l’algorithme MD5 utilisé pour la création de certains certificats SSL, jusqu’à pirater le site RapidSSL de Verisign et créer de faux certificats.
Et de montrer qu’il est ainsi possible de créer de faux certificats SSL, en usurpant l’identité d’une autorité de certification. De quoi alimenter un peu plus le moulin des « phishers » de tous poils. Enfin presque. Car les faiblesses de MD5 sont connues et son remplacement par SHA-1 est déjà largement entamé. Dans un entretien accordé au Washington Post, Tim Callan, vice-président de Verisign, explique d’ailleurs que RapidSSL aura complètement abandonné MD5 en janvier 2009.
Par gapla
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur