Dual Blog : DeFr's Weblog

Algorithmes de hashage : interet et petit point sur md5 | dimanche 17 avril 2005, 21h36

Les personnes faisant beaucoup de téléchargement ( non, je ne vise personne en particulier :p ) auront sans doute déja rencontrés au moins une fois, offert en même temps que le telechargement du logiciel, un lien vers un fichier nommé md5sum, ou un nom approchant... Avec la grande interrogation : mais qu'est-ce que j'suis supposé en faire ? En effet, le fichier md5, s'il présente l'avantage de se télécharger très rapidement, n'a aucune utilisé en soit, il ne contient que du texte. Il n'est d'ailleurs pas utile au fichier que l'on veut télécharger non plus, puisqu'on peut parfaitement lancer ce qu'on a téléchargé sans avoir pris la peine de choper le md5, et ca fonctionne. Alors, quelle lubie a donc pris les informaticiens de distribuer deux fichiers quand un seul aurait suffit ?

En réalité, la réponse est simple : l'idée du fichier md5, c'est qu'il constitue en quelque sorte la signature du fichier qui a été mis en ligne par le webmaster. L'interet net pour le visiteur est donc situé à deux niveaux. Le premier est plus historique que réellement pratique : quand j'étais jeune ( ;-) ) il arrivait que, sans raison apparente, le téléchargement est un problème, et qu'un ou deux octets du fichier téléchargé ne soient pas les mêmes que ceux du serveur. La signature du fichier permet alors de se rendre compte du problème, et de recommencer le téléchargement. Cela dit, je dois avouer que ce genre de problème ne m'est plus arrivé depuis des lustres, et je ne pense pas être le seul dans ce cas. Comme la prolifération des signatures md5 est relativement récentes, il y a donc une autre explication : le deuxieme effet KissCool ( désolé pour ceux n'ayant pas vu la pub, j'sais pas si ca passe partout dans le monde ) de distribuer les signatures en même temps que les fichiers, c'est qu'on se previent alors en partie d'éventuelles attaques contre le serveur. Certes, ca ne va pas miraculeusement renforcer la sécurité d'Apache, mais la présence de la signature permet de vérifier que le fichier que l'on télécharge est celui prévu par le webmaster, et non pas un fichier qui aurait été placé là par un cracker mal veillant.

Cependant, d'une facon plus générale, md5 designe un algorithme, d'une catégorie bien particuliere, appellée algorithme de hashage. Le but d'un tel algorithme est de fournir, pour un fichier ou texte donné, une représentation quasi-unique sous la forme d'une chaine de caractère, de longueur tout à fait acceptable. C'est cette chaine de caractère qui constituera la signature obtenue, et qui, comme une signature traditionelle, doit théoriquement permettre d'être sur et certain que la personne que vous avez en face de vous est bien qui elle prétend être. Et, comme dans la vraie vie, la signature est beaucoup plus facile à traiter que l'individu tout entier : imaginer qu'au lieu de comparer votre signature à celle qui figure sur votre carte d'identité, ou n'importe quel papier, l'on doive, lorsqu'on veut vérifier votre identité, faire venir spéciallement des gens qui puissent formellement vous identifier ; certes, les différents points de ventes gagneraient alors en convivialité, mais on se retrouverait quand même séverement ralenti. La même chose s'applique aux fichiers electroniques : il est beaucoup plus simple de manipuler un texte de 50 caractères qu'un fichier qui fait 600Mo.

Si l'analogie s'arreterait là, les informaticiens seraient très contents, ayant un système leur permettant d'identifier de facon simple et unique leurs fichiers. Tout le monde croyait d'ailleurs que c'était le cas, jusqu'à ce que des chercheurs chinois viennent appuyer là ou ca fait mal, sur le quasi du quasi-unique énoncé précédement. Continuons de filer la métaphore : ce que ces chercheurs ont démontrés, c'est qu'ils pouvaient, sans trop de difficulté, trouver deux personnes distinctes capables d'effectuer la même signature. A priori, aussi bien d'un point de vue humain qu'informatique, l'information peut paraitre anodine. Ils ont cependant démontrer que ce n'était pas le cas, en exposant divers couples d'individus totalement antagonistes. Ainsi, vous pouviez très bien signer un contrat avec un individu tout à fait respectable, et vous retrouvez en fin de compte avec une personne inapte sur les bras, sans pouvoir démontrer la moindre fraude puisque ces deux là, aussi étrange que ca puisse paraitre, possède exactement la même signature.

L'impact reste toutefois, à mon sens, à relativiser. On entend parfois md5 a été cassé, il ne faut plus du tout l'utiliser, c'est pas sur !. Je n'irais nettement pas jusque là. Certes, les chercheurs ont montrés que l'algorithme était moins sur que ce que l'on pensait. Toutefois, le point important à bien considéré dans l'analyse, c'est que ce qu'ils ont trouvés, c'est qu'il était possible de trouver deux individus ayant la même signature, si on les cherche en même temps. Par contre, il est toujours impossible de trouver une personne pouvant contrefaire la signature d'une personne donné. L'analogie devenant un peu complexe, nous allons donc revenir dès le paragraphe suivant sur du concret, pour comprendre ce que ca signifie réellement.

Ce qui a été trouvé, c'est qu'il est possible, pour une personne, de créer deux documents PDF qui auront au final la même signature. C'est embettant dans le sens ou l'on peut alors faire approuver un des fichiers, puis le remplacer par le deuxieme fichier PDF... Cependant, ce qu'il n'est toujours pas possible de faire, c'est de se faire envoyer un document en PDF, dire "pas de problème" puis essayer de créer à partir de là un autre document PDF. Pour résumer en une phrase : on ne peut exploiter la faille découverte dans md5 que si on est l'auteur du document original.

Dans un bon nombre de cas, cette différence est cruciale. Exemple un peu simpliste, mais qui permet à mon sens de bien comprendre : un certain nombre de sites webs utilisent md5 pour crypter les mots de passes des utilisateurs. Dans ce cas, l'utilisation de md5 est encore une valeur sure. En effet, on se trouve typiquement dans un cas ou le fichier initial ( ici, le mot de passe de l'utilisateur ) a été défini à l'avance. Il est donc toujours - pour le moment du moins - impossible de trouver dans un temps raisonable un autre mot de passe qui aurait la même signature.

Pour conclure, je dois donc dire que si de nouvelles générations d'algorithme de hashage sont les bienvenues, l'utilisation de md5 reste encore possible pour quelques temps encore, à condition de bien avoir en tête dans quelles conditions on peut le considérer encore aujourd'hui comme un algorithme de hashage sur, et les conditions dans lesquels il faut commencer à se méfier beaucoup plus sérieusement de l'impact que l'algorithme pourrait avoir

Tags : aucun
297 - Un p'tit commentaire ?

Revenir au blog

Vous souhaitez ajouter un nouveau commentaire ? Faites donc, il vous suffit de remplir le petit formulaire ci-dessous. Et z'enfin, votre petit commentaire

Mes Sites

• Mon collectif
• Mega-Poudlard.com, là ou la magie prend vie

Weblogs

• Ania
• Circéus
• Drakys
• Ennaluna
• Kévin
• Rhiannon
• Spider
• Zeek

Sites fréquement visités

• Aqua-Soft
• DeviantArt
• Kings Of Chaos
• Kochonland
• MozDev.org
• MozillaZine
• Stardock
• The GIMP
• WinCustomize

Cliques / Webrings

• Journaux de Jedusor - Mega-Poudlard.com
• >> // XD Addict // <<
• Hunter x Fanatic

About

Quelques informations sur cette version ? Ca va être un peu difficile étant donné que le choix a été fait de laisser au visiteur le choix de l'apparence graphique de ce blog par le biais de feuilles de styles alternatives ( oui, je viens de pondre la traduction, non je sais pas si c'est une bonne idée de traduire des termes techniques à 23h45 un 31 décembre ). Toutefois, pour ce qui est du style par défaut, Somatic, je peux vous dire que les icones viennent du talentuex David Lanham, pour The IconFactory, dans son set Somatic Windows

Quelques faits ? La magie de pouvoir changer l'apparence de ce site à volonté ( quatres versions disponible en lien ci-dessous pour le moment, plus si vous utilisez un navigateur vous laissant choisir par lui-même l'apparence parce que vous aurez alors en bonus les versions que je considère, erm, expérimentales ) est du essentiellement au tandem XHTML 1.1 et CSS 2.1, permettant de séparer le contenu, c'est à dire les informations elles-même, de la facon dont elles sont affichés à l'écran, ce qui permet entre autre ce que vous avez sous les yeux ^^;

• Olive Verde
• Brushed
• Lite : Reloaded
• Somatic

Profile

Franck ( Deroche Franck, oui, la parodie de James Bond est nulle, et alors ? ), 20 ans est un habitant de Plaisir, France, la Terre, petite planète du système solaire paumée entre Venus et Mars. Il est actuellement en école d'ingénieur à l'Ecole Centrale de Nantes : une école d'ingénieur généraliste permettant de faire à peu près n'importe quel travail d'ingénieur en sortie.

Toutefois la spécialisation de Franck sera très certainement dans le domaine informatique, pour lequel il éprouve une passion sans bornes. Normallement, de telles études devrait lui laisser assez de temps pour qu'il puisse faire ce qu'il veut à côte, mais ce n'est que la théorie...

Enfin, Franck est en ce moment très ( très très ) amoureux d'une jeune demoiselle particulièrement brillante et sympathique, extrement jolie, adepte de Zelda et du violet qui se reconnaitra très certainement, et qui malheureusement n'habite pas vraiment très près de Nantes... Et en plus, elle ne considère même pas les ordinateurs comme des choses bizarres venue d'ailleurs, pouvant même programmer pour le web ^^;

Like / Dislike

Qu'est-ce que Franck peut bien aimer ? Erf, bah, tout à la fois, pas grand chose et un nombre impressionant de machins qui pourrait un être normallement constitué ne serait probablement rien d'autre que tout au plus des anecdotes. Toutefois, il faut bien avouer que son passe-temps majeur n'a rien de bien original, puisqu'il s'agit de l'informatique, ce media des temps modernes sur lequel on entend à peu près tout et n'importe quoi. Et en ce qui concerne l'informatique, on peut alors dire que Franck est on ne peut plus écléctique, touchant un peu à tout... Ce qui retient le plus son attention toutefois, en ce moment du moins, reste la création de sites webs, la programmation et la customisation de son environement, à un point pouvant parfois friser le ridicule...

Lorsqu'il n'est pas collé à son écran, on a alors toutes les chances de le trouver en train de lire un bouquin, la lecture lui prenant elle aussi une partie non négligeable de ses temps libres. Dans ce domaine aussi, l'eclectisme fait loi, il peut lire plus ou moins tout et n'importe quoi... Ces dernieres découvertes majeures en la matiere sont probablement les bouquins de Werber ( qu'il a toutefois découvert depuis un certain temps maintenant ) et plus recement les mangas que sont Hunter x Hunter, Naruto et surtout One Piece, qui l'ont amenés dans un univers ou il ne s'était curieusement que rarement aventuré.

Quant à sortir des deux occupations sus-mentionnées, il est difficile de donner une énumeration précise de ce qu'il aime faire, tant cela tant à l'anecdote : faire du cerf-volant sur la plage avec le son des vagues en fond sonore, se baigner, etc.

Quant à ce qu'il n'aime pas, les réponses sont alors même pour lui moins évidente... Au niveau comportemental, c'est à dire dans ces relations avec les autres individus de l'espece humaine, le tout pourrait se resumer par une formule bateau du type : qu'on ne respecte pas le cadre privé dans lequel il souhaite parfois se retrancher... En effet, Franck aime parfois se retrouver livrer à lui-même, avoir des instants bien à lui où il n'est pas obligé d'expliquer ses agissements, et où tout simplement il n'est pas obliger de communiquer avec d'autres individus à qui 'il n'a finalement rien à dire... D'autre part, il deteste se sentir exploiter, en mettant dans cette notion tout travail inutile pour lui, que ce soit au profit de quelqu'un d'autre, ou même completement inutile à qui que ce soit. Toutefois, sa notion de l'utilitié semble legerement particulière, car passer un temps fou sur des jeux ne le dérange par contre générallement pas le moins du monde...

Archives

Geekness n'était pas updaté depuis un bon bout de temps, la section va donc laisser sa place à quelques choses qui devrait à priori être beaucoup plus utile, puisque je compte laisser des archives accessibles ^^; Eventuellement, des petits bonus pourrait atterir dans cette section, comme une liste des posts jugés les plus dignes d'interet, ou un truc de ce genre. En tout cas, pour le moment, le voici, contenant la liste des archives pour le moment disponible :
Archives :

• Juin 2008   (1)
• Mars 2008   (2)
• Janvier 2008   (2)
• Novembre 2007   (1)
• Octobre 2007   (1)
• Mars 2007   (1)
• Novembre 2006   (1)
• Juillet 2006   (2)
• Avril 2006   (1)
• Août 2005   (2)
• Juillet 2005   (4)
• Juin 2005   (1)
• Mai 2005   (4)
• Avril 2005   (9)
• Mars 2005   (9)
• Février 2005   (9)
• Janvier 2005   (12)
• Décembre 2004   (2)
• Novembre 2004   (10)
• Octobre 2004   (1)
• Août 2004   (1)
• Juin 2004   (1)
• Décembre 0   (40)

Commentaires

Voici la liste des 5 derniers commentaires fait sur ce blog, tous posts confondus. Ca devrait permettre à tout le monde ( et notamment à moi-même ) de repérer les nouveaux commentaires qui arrivent, même s'ils le sont sur des posts vieux de 6 mois ^^

• Commentaire de erotik sur le post Les flux de syndication sur ce blog
  

• Commentaire de boobtube sur le post Les flux de syndication sur ce blog
  

• Commentaire de martial tchouapé sur le post Automgen ou le cauchemard de l'ergonome
  J'utilise automgen depuis 1 mois environ, je voudrais qu'on puidde l'utiliser dans mon école , mais je ne maitrise pas l'utilisation , surtout pour les animations, si vous avez de bon tutorial dessus merci de les faire parvenir.(je suis étudiant à l'ist afrique centrale)

• Commentaire de shadow sur le post Status update
  OMG aussi... ;-)
  Comme quoi j'ai bien fait de garder ce flux rss, je me disais bien que ça finirait par payer !
  
  Mes plus que probables félicitations pour ton officialisation plus que probable !

• Commentaire de DeFr sur le post Status update
  C'est le grand problème, à chaque fois j'hésite parce que je sais que je risque de provoquer des crises cardiaques ;-) Plus sérieusement, je commence à avoir un rythme bien rodé, donc, je devrais pouvoir y intégrer (/me croise les doigts et touche du bois) les posts sur Dual Blog. Le pire, c'est que ça me fait réellement plaisir d'y écrire, de même que de remplir mon wiki, mais je suis en chronique manque de temps en fait.

• Commentaire de Morgan sur le post Status update
  OMG, un post ! Content de savoir que tu as trouvé un job conforme à tes attentes !

• Commentaire de DeFr sur le post Dual Blog libéré
  Jusqu'à il y a en gros un an, il n'y avait littérallement aucune protection contre le spam, et ce n'était pas un problème parce que je n'étais pas réellement une cible, j'avais réussi à échapper aux mailles du filet pour une raison mystérieuse mais dont je ne me plaignais pas ;-) Malheureusement depuis, j'ai été repéré, et j'ai par conséquent testé plusieurs dispositifs possibles, sans vouloir utiliser de captcha pour deux raisons: ils ont des problèmes non négligeables en terme d'accessibilité d'une part, et ils sont cassables informatiquement d'autre part. La solution sur laquelle je suis arrivé en ce moment, c'est l'utilisation d'Akismet, un service visant à lutter contre le spam au niveau mondial, et assez spécialisé dans la lutte du spam provenant des commentaires sur les blogs. Très concrètement, pour chacun des commentaires qui sont postés, on vérifie (ligne 25) auprès du serveur d'Akismet la probabilité que le message soit ou non du spam, en fonction du contenu du message, de l'auteur, de l'ip, ... Si Akismet pense que ce n'est pas du spam, je l'affiche directement (et m'envoie un mail m'informant de la publication du commentaire), sinon, ca passe en modération, et je recois quotidiennement un mail me lisant les commentaires qui ont été placés dans cette file de modération. Je n'ai pour le moment pas eu un seul faux positif, et les commentaires qui passent au travers des mailles d'Akismet sont relativement rares, donc je reste là dessus pour le moment. En toute objectivité, il y a quand même deux problèmes avec Akismet: d'une part, il s'agit d'une boite noire sur laquelle on n'a pas réellement de controle, et d'autre part il est necessaire de créer un compte WordPress (gratuitement) pour pouvoir accéder au service. Le deuxième problème part toutefois d'un bon sentiment: en obligeant les gens à avoir un compte, on évite qu'un grand nombre de spammeurs utilise le service en prétendant que leur spam a été considéré comme tel par erreur, faussant l'algorithme bayesien qui se trouve probablement derrière.

• Commentaire de Shadow sur le post Dual Blog libéré
  Petite question concernant Dual-Blog : il n'y a apparemment aucun test anti robot spammeur, est-ce que ce n'est pas un souci potentiel ?

• Commentaire de Jogb sur le post Je suis toujours là
  111111111...

• Commentaire de DeFr sur le post Annonce de service
  P'tit test, j'ai encore une fois changé légèrement la configuration de l'antispam qui laissait passer encore un peu trop de commentaires étranges à mon gout :-)

• Commentaire de bobber sur le post Je suis toujours là
  is fantastic this post

• Commentaire de shadow sur le post Annonce de service
  Tu as failli me provoquer une crise aussi, en fait... Au début de la lecture du billet précédent, j'avais cru que tu avais eu le vrai diplôme... Et que je ne l'avais pas reçu. ;-) Content que tu te remettes à poster sur le blog, comme quoi j'ai bien fait de ne pas supprimer le flux rss !

• Commentaire de DeFr sur le post Diplômé
  Merci beaucoup pour les félicitations Morgan :-) Et je m'avoue plus qu'impressioné sur ses délais pour imprimer les diplômes de doctorat Oo; Je suppose que l'objectif doit être de grouper les différentes impressions pour arriver à un certain volume au niveau de l'imprimerie, et ne pas faire façe à des coûts prohibitifs ? Je compte bien rester sur Nantes, donc, il ne semble pas impossible de nous re-croiser dans un futur plus ou moins proche. Et pour les mises à jours, j'essaie :-) Je viens de faire quelques nouvelles modifications à mon interface de gestion, dans l'espoir que plus je la trouverais attractive, plus mon envie de poster sera grande, je ne sais pas encore si ce sera une technique payante mais ca ne coûte pas grand chose de tester :-)

• Commentaire de Morgan sur le post Diplômé
  Mon Dieu, j'ai failli prendre une crise cardiaque en voyant ce flux mis à jour dans mon agrégateur ! Diantre, le Dual Blog mis à jour ! Félicitations à toi, Franck, et bravo pour la mention ! Je comprends tout à fait ce que peut représenter le fait d'être arrivé au bout d'un chemin académique, après pas mal d'efforts (pour te rassurer sur le délai d'obtention du diplôme définitif : les diplômes de doctorat mettent entre 18 et 24 mois à être édités ! C'est fou, quand on y pense). Bon, maintenant, j'espère que tu mettras à jour plus souvent ton blog et/ou que nous aurons l'occasion de nous recroiser prochainement pour papoter sur tes projets, tout ça. Bon courage pour la suite !

• Commentaire de DeFr sur le post Diplômé
  Merci :-)

• Commentaire de Kévin sur le post Diplômé
  Félicitations mon Ami :) !

• Commentaire de coco888 sur le post Je suis toujours là
  work, Nice Excellent Design

• Commentaire de lalie sur le post Les flux de syndication sur ce blog
  Hum je pensais que t'avais réparé pour te motiver à poster ... Ta motivation elle est passée où encore??? Allez allez t'a pleins de choses intéressantes en plus à nous expliquer au boulot :D

• Commentaire de Batablealay sur le post 3617 My Life
  Hire a mechanic to inspect the car.

• Commentaire de jonn2 sur le post Je suis toujours là
  Comment