Je parle bien évidemment de la n-ième annonce de la fin du monde, ou du moins de l'Internet multimédia interactif. Les papers ont été balancés y'a quelques jours déjà, mais je n'ai pas encore eu le temps de lire les détails, je me suis contenté de me renseigner sur la nature du souci, et ... finalement, c'est pas si mortel que ça. Du moins, pour le moment. On savait déjà que md5 était foireux depuis un paquet de temps. Enfin au moins on a une belle application pratique d'un problème de crypto appliqué à la vraie vie avec les vrais gens pouvant poser de vrais problèmes.
Bon, dans la pratique je relève juste le chiffre de netcraft faisant état de 14% des certificats existants pouvant poser problème (utilisant md5). Ce que je note aussi, c'est que finalement dans la vraie vie, un certificat invalide est quand même accepté par les gens qui cliquent bêtement sur OK (j'en fais partie, ayant affaire régulièrement à un certificat ssl auto-signé pour un serveur imap ayant expiré fin aout 2008 et qui n'a toujours pas été changé depuis, j'ai acquis le réflexe de cliquer sur "OK" dans mon client mail sans réfléchir). Et même quand y'a un méchant message d'erreur disant que le certificat est invalide (ceux de Firefox et de Chrome en tout cas, celui d'IE à l'époque ressemblait plus à une pseudo page 404 et je n'ai jamais utilisé Opera) eh bien les gens cliquent quand même sur OK sinon ça les empeche de browser sur l'internet multimédia.
Mais je préfère me dire que ce genre de travaux est bon pour faire avancer la sécurité, car il permet de foutre un gros coup de pied au cul de ceux qui se reposent sur des trucs antiques (sans parler de md5 uniquement, de toutes façons un jour ça sera au tour de SHA-1 et les suivants de subir ce genre de travaux, mais le résultat sera moins frappant parce qu'on y aura déjà eu droit)
A part ça, bonne année.
1 commentaire:
Le boulot a commencé depuis un an et demi avec sha-1 : http://boinc.iaik.tugraz.at/sha1_coll_search/
Enregistrer un commentaire