Ce piratage pose encore plus de question sur l'utilisation et l'éthique des géants du web, les G.A.F.A.M (Google Amazon Facebook Apple Microsoft) et des gigantesques silos de données stockés on ne sait où...(dans le cloud parait-il..) et entre les mains de n'importe qui..

Par contre petite question et n'étant pas spécialiste des BDD, il n'existe pas un moyen plus sûr que le MD5 pour les chiffrement de données sensibles ?


En tout cas merci Bioshock pour le partage

Le soucis d'utiliser une autre méthode de hachage tel que le sha256 ou le sha512 c'est que le temps va être largement supérieur à du MD5 il me semble (pour ne pas te dire de conneries) que le sha256 prend 50% ou 60% de plus de temps que le MD5 à hasher les informations. Certes le hashage sera de meilleure qualité mais les requêtes mettront plus de temps à être validé.

Effectivement, il existe d'autres méthode de hachage supérieur au MD5, comme le fait si bien remarquer Zhenn , mais elle prennent plus de temps, pour exercer leur fonction. C'est le choix de la quantité, au profit de la qualité, et cela nous ramène toujours au même problème d’éthique que tu soulèves.

Je suis d'accord avec toi Supras, il serait peut-être temps de se questionner sur comment le système fonctionne, et de le remettre en question...

Le gros soucis je pense comme Supras l'a souligné et toi aussi d'ailleurs Bioshock c'est le vieil adage "Le temps c'est de l'argent". Et pour l'heure il est encore très dur de faire changer les mentalités.

est ce que ce n'est pas plutôt un problème de même si on est à jour en hashage à l'instant t, rien ne dit que 2 ans plus tard l'algo ne sera pas craqué? En l'occurrence je ne connais pas les standards à l'époque, mais depuis 2013 je crois qu'on a beaucoup évolué. Et même avec du sha 256 ou 512, rien ne dit que ça ne sera pas craqué quand sortiront les ordis quantiques (5 ans? 10 ans?). Après il reste un problème de se mettre à jour avec l'évolution des pratiques de sécu, et c'est pas forcément toujours évident

Bien dit

Oui, c'est possible qu'il s'agisse d'un problème de la sorte, mais ne penses-tu pas qu'une boite comme Yahoo! qui gère un milliard de comptes a les moyens de faire une MAJ sur la fonction de hachage qui lui sert à protéger sa base de données ?

Certes, cela est peut-être compliqué, ou coûte très cher, mais je pense que c'est une priorité, pour une entreprise de ce genre de sécuriser ses utilisateurs.
Je serais plutôt d'avis que Yahoo! a fermé les yeux sur ce problème, économisant ainsi beaucoup de temps et d'argent.

md5...

Merci pour ton article

À savoir sur les algorithmes de chiffrements et de hash en général (attention, ce n'est pas du tout le même) :
Ils sont parfois lents et sont aussi parfois faits pour l'être, pour augmenter le temps nécessaire à la création de dictionnaires ou le temps des brute-force.
Ainsi l'algo PKBS (il y a une suite que j'ai oubliée) est fait pour être (d'après son hauteur) slow-as-hell.

C'est aussi pour ça que l'on conseille de ne pas hasher une seule fois mais plusieurs fois de suite un mot de passe que l'on reçoit (ça casse aussi les méthodes par rainbow table si mes souvenirs sont exactes).
Par exemple, le hasher 500 fois avant de le stocker.

Aussi pour des géants du web, le temps cpu nécessaire au hash de mot de passe est insignifiant d'autant plus dans la mesure où ceux-ci ne sont généralement calculé qu'à la connexion.
Pas à chaque requête envoyée.

Par contre, un mauvais choix d'algo est difficile à corriger. Il demande une modification de la structure des bases de données et une modification des mots de passes de tous les utilisateurs.

En effet, comme une fonction de hash est à sens unique, ils ne peuvent pas à partir du hash retrouver le mot de passe.
Ainsi, si ils veulent passer de md5 en sha2 par exemple, ils doivent (de manière imagée car dans un système d'entreprise c'est bien plus compliqué), ajouter une colonne dans leur base de donnée des utilisateurs et obliger tous les utilisateurs à changer leurs mot de passe afin de les re-hasher dans la nouvelle fonction et de les stocker. Sans penser en plus que ces bases de données sont distribuées.

De plus, quid des utilisateurs devenus inactifs ?
On ne peut pas supprimer leurs comptes parce qu'ils sont protégés par du md5 ...

Aussi, pour la connexion, on a maintenant deux passwords stockés en base de données en MD5 et en SHA2. Lequel reprend t'on ?
Comment être certain que l'utilisateur n'a pas remis le même (sont cons ces users vous savez m'dam).

Bien évidement, je n'essaye pas de protéger ces choix paresseux de ne pas faire la modification vers un algorithme plus récent (en effet, AVANT le md5, c'était bien).
Une société aussi énorme en a largement les moyens (il serait par exemple possible de générer un one time password à la connexion de la personne, lui envoyer par mail et l'obliger avant d'accéder à son compte à le redonner pour changer son mot de passe).
Ce que je voudrais faire passer comme message, c'est que les modifications du côté de la sécurité comme simple et obligatoires ne sont pas forcément des plus simples à mettre en place pour une entreprise de taille plus modeste qui aurait fait un choix malheureux.

C'est aussi notre boulot dans la sécurité d'aider les entreprises à se rendre compte de ces problèmes de sécurité auxquelles elles s'exposet et auxquelles elles exposent leurs utilisateurs.
En plus des problèmes légaux. C'est aussi à nous à penser à des procédures de changement d'un algo à un autre et de faire que ces procédures ne soient pas trop lourdes pour les utilisateurs (il n'y a rien de plus dur que de leur faire changer leurs habitudes).

En informatique, il faut penser à soit, à son entreprise, à ses client et penser à ce que ses clients n'ont pas pensés. et comme le dit Anonyme77 qu'est-ce qu'il est compliqué de faire changer les habitudes d'un client !!! Surtout quand il ne veut pas faire d'effort, c'est une grosse partie de mon travail de leurs faire changer leurs habitudes mais en grande partie il n'en n'ont rien à faire et ils râlent car c'est pas parfait

Chiffrer/Hasher, etc. --> https://chiffrer.info/
Vous n'avez plus aucune excuse désormais !

Pas mal comme site.
Je ne connaissais pas mais on peut dire que le mec à de l'humour

_47 merci pour ce beau site très clair, maintenant je saurai qu'on hash les mots de passe et qu'on ne les chiffre pas, même si je pense qu'on doit beaucoup l'entendre au quotidien.