Discussion :

[Hinault Romaric]

Les pirates ont-ils compris avant les autres l'avantage du Cloud ?
Il semble que oui : un hacker allemand exploite AmazonEC2 pour casser l’algorithme de hachage SHA-1


Les algorithmes de hachage et de chiffrement sont sans cesse découverts, améliorés et cassés par des hackers (et/ou par des pirates) depuis des décennies.

Un hacker allemand, du nom de Thomas Roth, passionné de sécurité, vient de faire une démonstration préoccupante. Il a utilisé la plateforme Amazon EC2 pour décrypter les mots de passes chiffrés avec l’algorithme de hachage SHA-1 (Secure Hash Algorithm) .

L’algorithme de hachage SHA-1 a été mis sur pied par une équipe de chercheurs chinois et date de 2005. Il ne pouvait, de toute façon, plus être considéré comme sûr. Mais ce qui est impressionnant dans la réalisation de Roth n’est pas tant le fait d’avoir réussi cet exercice ou l’approche utilisée (la force brute), mais la technologie employée.

En fait, Roth a exploité les capacités de calcul de haute performance offertes par le Cloud pour réaliser en quelques minutes, et en investissant à peine 2$ pour la location des ressources, une œuvre qui d'habitude demande beaucoup plus de temps et d'argent.

Pour mémoire, il y a 12 mois, un hacker plus ou moins pirate avait créé un service en ligne capable de cracker en 20 minutes environ un mot de passe Wi-Fi, ce qui en principe se fait en 120 heures avec un PC dual-core.

Malgré le fait que l’algorithme de hachage SHA-1 s’utilise de moins en moins dans les applications récentes, il reste néanmoins un élément utilisé dans diverses applications de sécurité encore largement utilisés, y compris SSL (Secure Socket Layer), Transport Layer Security et S/MIME protocols.

Pour les experts en sécurité, le Cloud Computing offre la possibilité aux pirates d’exploiter celui-ci pour leurs propres intérêts néfastes.

Les pirates semblent avoir compris les autres avantages que peut offrir le Cloud.


Source : Description de la méthode de Thomas Roth


Et vous ?

Pensez-vous que le Cloud peut accroitre l’activité des pirates ?
Et qu'ils ont compris avant les autres l'intérêt de cette technologie ?

[jayfaze]

C'est lui le premier a avoir casse ls SHA-1 ou bien ca a deja ete fait avant ?

[Gordon Fowler]

Salut,

C'est pas une première du tout, mais lui le fait pour 2$ et en quelques minutes... avec un PC tout ce qu'il y a de normal


Cordialement,

[kuranes]

Avec un ordinateur quantique, le SHAT aurait été à la fois crypté et décrypté...

[Marco46]

Un hacker allemand, du nom de Thomas Roth, passionné de sécurité, vient de faire une démonstration préoccupante. Il a utilisé la plateforme Amazon EC2 pour décrypter les mots de passes chiffrés avec l’algorithme de hachage SHA-1 (Secure Hash Algorithm) .

Raah le vocabulaire !!!

C'est pas un algo de chiffrement. Donc c'est pas un décryptage.

Sinon d'après ce qui est marqué sur la source, il s'agit de trouver à quels mots de passes correspondent les hashs de ce fichier texte.

Les mots de passes d'origines sont d'une longueur 1 à 6 caractères et il n'y a pas de salage (en tout cas l'auteur n'en fait pas mention).

Donc bon ... Il faut relativiser ...

[jayfaze]

oui ! voici les stats :

Compute done: Reference time 2950.1 seconds
Stepping rate: 249.2M MD4/s
Search rate: 3488.4M NTLM/s

Donc en 49 minutes, sans salage en effet.

Raah le vocabulaire !!!

C'est pas un algo de chiffrement. Donc c'est pas un décryptage.

OUI !

[jkakim]

C'est vraiment pas un algo de chiffrement...

[atha2]

Malgré le fait que l’algorithme de hachage SHA-1 s’utilise de moins en moins dans les applications récentes, il reste néanmoins un élément utilisé dans diverses applications de sécurité encore largement utilisés, y compris SSL (Secure Socket Layer), Transport Layer Security et S/MIME protocols.

SSL, de toute façon ne devrait plus être utilisé. Il devrait être remplacer par TLS. Pour TLS, SHA-1 est effet utilisé mais si je ne me trompe pas, ce n'est pas exploitable : les parties critiques utilisent SHA-256.

[cs_ntd]

Il n'en reste pas moins que l'utilisation du clouding de cette manière est assez "intéressante", et, à mon avis, devrait se développer... (ça à l'air de bien marcher...). Je pense que c'est une affaire à suivre

[minus92]

Bonjour,

Mon petit doigt me dit que la force brute ce n'est pas fufute (ce n'est pas la bonne méthode). Avec un peu de malice, on fait péter des protections.

A 2$ cela me semble un bon rapport qualité/prix

Cloud un avantage ? Euh...

Pour ce qui est de sucré les fraises...