Dans un avis de sécurité publié mardi, Microsoft semble s'inquiéter de la toujours présence de MD5 alors qu'un " projet de recherche prouve la faisabilité d'attaques par collision ". Autrement dit, l'exploitation d'une faille - une collision - qui fait perdre son caractère cryptographique à la fonction de hachage.
Deux fichiers différents pour une même signature !
Juste un avertissement pour le moment puisque la méthode pour parvenir à cette exploitation n'a pas été rendue publique. Reste que lors d'une conférence sur la sécurité, le projet de recherche a prouvé l'existence d'une " attaque réussie contre les certificats numériques X.509 signés en utilisant l'algorithme de hachage MD5 ", indique le géant américain.
Le risque de voir apparaître des certificats numériques avec la même signature que l'original tout en véhiculant un contenu différent, devient donc presque palpable pour Microsoft qui préconise un recours à des technologies plus sécurisées comme SHA-1, SHA-256, SHA-384 ou SHA-512. On peut en effet imaginer que bientôt, un attaquant pourra usurper l'identité d'un serveur Web afin de délivrer du contenu signé numériquement à un utilisateur pris pour cible, même si ce type d'attaque n'est pas à la portée de n'importe qui.
La recommandation de Microsoft n'est pas vraiment nouvelle mais l'abandon définitif de MD5 (pas de correction possible) semble être devenu aujourd'hui une réelle nécessité pour un Internet " sûr ".