Deux cents PlayStation 3 pour voler votre argent

[Newserator]

Les PlayStation 3 ont décidément beaucoup d'usages : en plus de permettre de jouer et de regarder des Blu-ray, elles peuvent aussi servir à voler de l'argent. La preuve en a été faite récemment, en utilisant la puissance brute du Cell (de plusieurs centaines, pour être exacte) pour créer un faux certificat digital. Explication.

HTTPS et MD5

Quand vous allez sur un site commercial pour acheter un bien, spécialement quand vous allez utiliser une carte de crédit, vous avez dû remarquer que l'adresse passe généralement en https (le s étant présent pour indiquer que la page est sécurisée). En simplifiant, un certificat numérique existe pour les pages https et un organisme de certification vérifie que le site que vous visitez est bien ce qu'il prétend être en utilisant ce certificat. Le problème, c'est bien évidemment la transmission de ce certificat : alors que les grandes sociétés utilisent une transmission chiffrée avec un algorithme SHA-1 (ou un autre algorithme considéré comme sûr), certains utilisent encore le MD5 comme base pour le chiffrement, alors qu'il s'agit dans les faits d'un algorithme de hachage.

L'exploitation de la faille

Le MD5 est un algorithme qui date de 1991 et il a un gros défaut : avec une bonne puissance de calcul, il est possible de trouver deux fichiers différents qui ont la même signature numérique. Il est donc facile de voir à quoi peuvent servir les deux cents PlayStation 3 citées (même si le même travail peut être effectué avec une armée de PC zombies) : arriver à trouver un fichier qui a la même signature numérique que le certificat, ce qui permet de faire croire que le site (frauduleux) que vous visitez est le site original. Des chercheurs ont essayé, ils ont, semble-t-il, réussi, ce qui est évidemment un gros problème pour la sécurité des transactions sur le Net. Reste que les organismes de certification importants utilisent des méthodes plus fiables que le simple md5, ce qui limite évidemment les risques (le SHA-1 est encore considéré comme sûr).

Source : Presence-PC.com

Lien vers article original : http://ps3.gx-mod.com/modules/news/article.php?storyid=1413

[Jesus]

Un calcul bien precis (avant taxe)

Deja avec 200 playstation3 X 400 $ = 80 000 $$$ (plus sony qui perd de l'argent sur chaque console)...

C'est proche 3 fois mon salaire annuel

[CodeLestat7]

'tain, ça paye plus Jésus, l'église et vos vrp lol

sinon, comment ça que le net ne serait pas ûr loll;)

[ouasse]

J'ai des collègues qui bossent dans ce domaine (cryptographie). Ce sont eux qui ont réussi à trouver une collision sur le SHA-0 (qui n'est plus utilisé). Une "collision" consiste en deux messages dont l'algo de hachage donne la même signature. Depuis, d'autres ont trouvé des collisions sur SHA-1.

Cela dit, ils ont juste montré qu'il était possible, à partir d'un message, d'en trouver un autre qui sera haché avec la même signature. Il n'est en revanche pas possible de prédire à quoi va ressembler ce message et surtout de fabriquer un faux message de toutes pièces en espérant qu'il soit haché de la même façon que l'original.

La sécurité de nos cartes de crédit n'est pas encore complètement tombée

Modifié le 7 janvier 2009 par ouasse