Services
Selon Netcraft, une firme spécialisée en sécurité sur Internet, 14% des certificats SSL sont cryptés à l'aide de l'algorithme de hachage MD5, un procédé que des chercheurs ont prouvé vulnérable.
L'étude se base sur le rapport «MD5 considered harmful today,» publié le 30 décembre dernier, qui démontre comment des pirates pourraient utiliser une faille de l'algorithme de hachage MD5 pour usurper l'identité de sites dignes de confiance.
Pour ce faire, les pirates doivent décrypter le certificat authentique d'un site. Ils construisent alors un autre certificat, contenant des données différentes, mais la même signature. Il pourra donc être validé par l'autorité qui a émis le certificat original. Il suffit alors de rediriger les internautes visitant le site légitime vers le site pirate.
La faille dans l'algorithme de hachage MD5 pourrait être très dommageable si combinée avec celle identifiée par Dan Kamisky à l'été 2008, qui permet de modifier les enregistrements DNS d'un site, et donc de rediriger les visiteurs.
Verisign, une des rares autorités émettrices de certificats SSL, a cessé d'utiliser l'algorithme MD5 sur ses produits RapidSSL, qui représentent 95% des certificats vulnérables. Ses autres produits cesseront de l'utiliser d'ici quelques jours. D'ailleurs, les clients de l'entreprise qui ont acheté un certificat signé par MD5 pourront le remplacer par un certificat signé par SHA-1 sans frais.
Le rapport «MD5 considered harmful today» est disponible en ligne et Netcraft explique la méthodologie derrière son étude et quelques détails sur la vulnérabilité sur son site.
par Gabriel Rodrigue
