Microsoft : l'algorithme de hachage MD5 est obsolète

Cela fait plusieurs années que l'algorithme MD5 pour Message Digest 5 n'est plus considéré comme sûr. Exception faite de la force brute, plusieurs faiblesses mises au jour ont déjà porté préjudice à la confiance accordée à MD5. Pour autant, cette fonction de hachage cryptographique via laquelle il est possible d'obtenir l'empreinte numérique d'un fichier est encore utilisée, et notamment pour par exemple vérifier l'intégrité d'un fichier après téléchargement.

Dans un avis de sécurité publié mardi, Microsoft semble s'inquiéter de la toujours présence de MD5 alors qu'un " projet de recherche prouve la faisabilité d'attaques par collision ". Autrement dit, l'exploitation d'une faille - une collision - qui fait perdre son caractère cryptographique à la fonction de hachage.


Deux fichiers différents pour une même signature !
Juste un avertissement pour le moment puisque la méthode pour parvenir à cette exploitation n'a pas été rendue publique. Reste que lors d'une conférence sur la sécurité, le projet de recherche a prouvé l'existence d'une " attaque réussie contre les certificats numériques X.509 signés en utilisant l'algorithme de hachage MD5 ", indique le géant américain.

Le risque de voir apparaître des certificats numériques avec la même signature que l'original tout en véhiculant un contenu différent, devient donc presque palpable pour Microsoft qui préconise un recours à des technologies plus sécurisées comme SHA-1, SHA-256, SHA-384 ou SHA-512.  On peut en effet imaginer que bientôt, un attaquant pourra usurper l'identité d'un serveur Web afin de délivrer du contenu signé numériquement à un utilisateur pris pour cible, même si ce type d'attaque n'est pas à la portée de n'importe qui.

La recommandation de Microsoft n'est pas vraiment nouvelle mais l'abandon définitif de MD5 (pas de correction possible) semble être devenu aujourd'hui une réelle nécessité pour un Internet " sûr ".