Les pirates ont-ils compris avant les autres l'avantage du Cloud?

Hinault Romaric · 19/11/2010, 12h19

Les pirates ont-ils compris avant les autres l'avantage du Cloud ?
Il semble que oui : un hacker allemand exploite AmazonEC2 pour casser l’algorithme de hachage SHA-1

Les algorithmes de hachage et de chiffrement sont sans cesse découverts, améliorés et cassés par des hackers (et/ou par des pirates) depuis des décennies.

Un hacker allemand, du nom de Thomas Roth, passionné de sécurité, vient de faire une démonstration préoccupante. Il a utilisé la plateforme Amazon EC2 pour décrypter les mots de passes chiffrés avec l’algorithme de hachage SHA-1 (Secure Hash Algorithm) .

L’algorithme de hachage SHA-1 a été mis sur pied par une équipe de chercheurs chinois et date de 2005. Il ne pouvait, de toute façon, plus être considéré comme sûr. Mais ce qui est impressionnant dans la réalisation de Roth n’est pas tant le fait d’avoir réussi cet exercice ou l’approche utilisée (la force brute), mais la technologie employée.

En fait, Roth a exploité les capacités de calcul de haute performance offertes par le Cloud pour réaliser en quelques minutes, et en investissant à peine 2$ pour la location des ressources, une œuvre qui d'habitude demande beaucoup plus de temps et d'argent.

Pour mémoire, il y a 12 mois, un hacker plus ou moins pirate avait créé un service en ligne capable de cracker en 20 minutes environ un mot de passe Wi-Fi, ce qui en principe se fait en 120 heures avec un PC dual-core.

Malgré le fait que l’algorithme de hachage SHA-1 s’utilise de moins en moins dans les applications récentes, il reste néanmoins un élément utilisé dans diverses applications de sécurité encore largement utilisés, y compris SSL (Secure Socket Layer), Transport Layer Security et S/MIME protocols.

Pour les experts en sécurité, le Cloud Computing offre la possibilité aux pirates d’exploiter celui-ci pour leurs propres intérêts néfastes.

Les pirates semblent avoir compris les autres avantages que peut offrir le Cloud.

Source : Description de la méthode de Thomas Roth

Et vous ?

Pensez-vous que le Cloud peut accroitre l’activité des pirates ?

Et qu'ils ont compris avant les autres l'intérêt de cette technologie ?

jayfaze · 19/11/2010, 15h43

C'est lui le premier a avoir casse ls SHA-1 ou bien ca a deja ete fait avant ?

Gordon Fowler · 19/11/2010, 15h52

Salut,

C'est pas une première du tout, mais lui le fait pour 2$ et en quelques minutes... avec un PC tout ce qu'il y a de normal

Cordialement,

kuranes · 19/11/2010, 15h52

Avec un ordinateur quantique, le SHAT aurait été à la fois crypté et décrypté...

Marco46 · 19/11/2010, 16h02

Citation:

Un hacker allemand, du nom de Thomas Roth, passionné de sécurité, vient de faire une démonstration préoccupante. Il a utilisé la plateforme Amazon EC2 pour décrypter les mots de passes chiffrés avec l’algorithme de hachage SHA-1 (Secure Hash Algorithm) .

Raah le vocabulaire !!!

C'est pas un algo de chiffrement. Donc c'est pas un décryptage.

Sinon d'après ce qui est marqué sur la source, il s'agit de trouver à quels mots de passes correspondent les hashs de ce fichier texte.

Les mots de passes d'origines sont d'une longueur 1 à 6 caractères et il n'y a pas de salage (en tout cas l'auteur n'en fait pas mention).

Donc bon ... Il faut relativiser ...

jayfaze · 19/11/2010, 16h07

oui ! voici les stats :

Citation:

Compute done: Reference time 2950.1 seconds
Stepping rate: 249.2M MD4/s
Search rate: 3488.4M NTLM/s

Donc en 49 minutes, sans salage en effet.

Citation:

Raah le vocabulaire !!!

C'est pas un algo de chiffrement. Donc c'est pas un décryptage.

OUI !

jkakim · 19/11/2010, 16h55

C'est vraiment pas un algo de chiffrement...

atha2 · 19/11/2010, 18h49

Citation:

Envoyé par Hinault Romaric

Malgré le fait que l’algorithme de hachage SHA-1 s’utilise de moins en moins dans les applications récentes, il reste néanmoins un élément utilisé dans diverses applications de sécurité encore largement utilisés, y compris SSL (Secure Socket Layer), Transport Layer Security et S/MIME protocols.

SSL, de toute façon ne devrait plus être utilisé. Il devrait être remplacer par TLS. Pour TLS, SHA-1 est effet utilisé mais si je ne me trompe pas, ce n'est pas exploitable : les parties critiques utilisent SHA-256.

cs_ntd · 19/11/2010, 19h57

Il n'en reste pas moins que l'utilisation du clouding de cette manière est assez "intéressante", et, à mon avis, devrait se développer... (ça à l'air de bien marcher...). Je pense que c'est une affaire à suivre

minus92 · 24/11/2010, 14h34

Bonjour,

Mon petit doigt me dit que la force brute ce n'est pas fufute (ce n'est pas la bonne méthode). Avec un peu de malice, on fait péter des protections.

A 2$ cela me semble un bon rapport qualité/prix

Cloud un avantage ? Euh...

Pour ce qui est de sucré les fraises...

19/11/2010, 12h19	#1
Hinault Romaric Chroniqueur Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 110 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 110 Points : 30 808 Points : 30 808	Les pirates ont-ils compris avant les autres l'avantage du Cloud? Les pirates ont-ils compris avant les autres l'avantage du Cloud ? Il semble que oui : un hacker allemand exploite AmazonEC2 pour casser l’algorithme de hachage SHA-1 Les algorithmes de hachage et de chiffrement sont sans cesse découverts, améliorés et cassés par des hackers (et/ou par des pirates) depuis des décennies. Un hacker allemand, du nom de Thomas Roth, passionné de sécurité, vient de faire une démonstration préoccupante. Il a utilisé la plateforme Amazon EC2 pour décrypter les mots de passes chiffrés avec l’algorithme de hachage SHA-1 (Secure Hash Algorithm) . L’algorithme de hachage SHA-1 a été mis sur pied par une équipe de chercheurs chinois et date de 2005. Il ne pouvait, de toute façon, plus être considéré comme sûr. Mais ce qui est impressionnant dans la réalisation de Roth n’est pas tant le fait d’avoir réussi cet exercice ou l’approche utilisée (la force brute), mais la technologie employée. En fait, Roth a exploité les capacités de calcul de haute performance offertes par le Cloud pour réaliser en quelques minutes, et en investissant à peine 2$ pour la location des ressources, une œuvre qui d'habitude demande beaucoup plus de temps et d'argent. Pour mémoire, il y a 12 mois, un hacker plus ou moins pirate avait créé un service en ligne capable de cracker en 20 minutes environ un mot de passe Wi-Fi, ce qui en principe se fait en 120 heures avec un PC dual-core. Malgré le fait que l’algorithme de hachage SHA-1 s’utilise de moins en moins dans les applications récentes, il reste néanmoins un élément utilisé dans diverses applications de sécurité encore largement utilisés, y compris SSL (Secure Socket Layer), Transport Layer Security et S/MIME protocols. Pour les experts en sécurité, le Cloud Computing offre la possibilité aux pirates d’exploiter celui-ci pour leurs propres intérêts néfastes. Les pirates semblent avoir compris les autres avantages que peut offrir le Cloud. Source : Description de la méthode de Thomas Roth Et vous ? Pensez-vous que le Cloud peut accroitre l’activité des pirates ? Et qu'ils ont compris avant les autres l'intérêt de cette technologie ? __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	11

19/11/2010, 15h52	#3
Gordon Fowler Chroniqueur Actualités Inscription : juillet 2009 Messages : 2 717 Détails du profil Informations forums : Inscription : juillet 2009 Messages : 2 717 Points : 43 702 Points : 43 702	Salut, C'est pas une première du tout, mais lui le fait pour 2$ et en quelques minutes... avec un PC tout ce qu'il y a de normal Cordialement,
	21

19/11/2010, 16h55	#7
jkakim Membre régulier Joé Kakim Développeur informatique Inscription : mars 2009 Messages : 94 Détails du profil Informations personnelles : Nom : Joé Kakim Localisation : Congo-Kinshasa Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : mars 2009 Messages : 94 Points : 87 Points : 87	C'est vraiment pas un algo de chiffrement... __________________ Essor me dit : "Un clavier AZERTY booste le code mais ce n'est pour mettre des accents." http://code.code/
	01

24/11/2010, 14h34	#10
minus92 Futur Membre du Club Inscription : octobre 2010 Messages : 11 Détails du profil Informations forums : Inscription : octobre 2010 Messages : 11 Points : 19 Points : 19	Les pirates ont-ils compris avant les autres l'avantage du Cloud? Bonjour, Mon petit doigt me dit que la force brute ce n'est pas fufute (ce n'est pas la bonne méthode). Avec un peu de malice, on fait péter des protections. A 2$ cela me semble un bon rapport qualité/prix Cloud un avantage ? Euh... Pour ce qui est de sucré les fraises...
	00

19/11/2010, 15h43	#2
jayfaze Membre actif Inscription : novembre 2006 Messages : 138 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 138 Points : 195 Points : 195	C'est lui le premier a avoir casse ls SHA-1 ou bien ca a deja ete fait avant ?
	00

19/11/2010, 15h52	#4
kuranes Membre expérimenté Matthieu Legrand Développeur informatique Inscription : décembre 2002 Messages : 405 Détails du profil Informations personnelles : Nom : Matthieu Legrand Âge : 30 Localisation : France, Somme (Picardie) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : décembre 2002 Messages : 405 Points : 594 Points : 594	Avec un ordinateur quantique, le SHAT aurait été à la fois crypté et décrypté...
	00

19/11/2010, 19h57	#9
cs_ntd Membre Expert Développeur .NET Inscription : décembre 2006 Messages : 598 Détails du profil Informations personnelles : Sexe : Localisation : Etats-Unis Informations professionnelles : Activité : Développeur .NET Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : décembre 2006 Messages : 598 Points : 1 138 Points : 1 138	Il n'en reste pas moins que l'utilisation du clouding de cette manière est assez "intéressante", et, à mon avis, devrait se développer... (ça à l'air de bien marcher...). Je pense que c'est une affaire à suivre
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email