Re: Une question de néophite
[  Nouvelle discussion
|  Répondre au groupe
| 
fr.misc.cryptologie ]
 Sujet: Re: Une question de néophite
 De: yannhuitcen...@yahoopointfr.invalid (YannicK)
Groupes: fr.misc.cryptologie
Organisation: les newsgroups par Orange
 Date: 24. Mar 2008, 17:26:44
References: 1 2 3
|
ChP a écrit :
> YannicK a écrit :
>> ChP a écrit :
>>> Bonjour à toutes et à tous,
>>> [...] Alors maintenant, j'imagine qu'une personne non autorisée
>>> réussi à trouver la valeur stockée, si la fonction md5 n'a pas de
>>> fonction réciproque, cette personne ne pourra rien faire de cette
>>> valeur ?
>>>
>>> J'ai bon ou je déraille ?
>>>
>>> Merci de votre aide.
>>>
>>> Pierre
>>
>>
>> Bonjour, monsieur le *_néophyte_*,
>>
>>
>> Oui, c'est effectivement cela. Md5 est ce que l'on appelle une
>> fonction de hachage, qui permet de créer une empreinte unique à partir
>> d'une donnée informatique.
>>
>> Certains prennent l'image du cochon : je peux transformer un cochon en
>> saucisse, mais pas retransformer une saucisse en cochon !
>>
>> Il faut néanmoins savoir que la fonction md5 n'est plus considérée
>> comme sûre .. je te conseille donc de de tourner vers d'autres
>> fonctions, comme la famille des SHA, qui est aussi implémentée en PHP ...
>>
>> Pour en savoir plus, je te renvoie vers wikipedia :
>>
>> http://fr.wikipedia.org/wiki/Fonction_de_hachage
>> http://fr.wikipedia.org/wiki/Md5
>>
>> Ainsi que vers ces deux pages, trouvées grâce à Google en faisant une
>> recherche sur les fonctions de hachage en PHP
>>
>> <http://antoine.media-box.net/index.php?post/le-hash-md5-n-est-pas-sur>
>> <http://antoine.media-box.net/index.php?post/le-hash-sha-en-php>
>>
>>
>> Bonne lecture et bon courage !
>>
>>
> Merci Yannick pour ces informations et désolé pour la faute d'orthographe.
>
> Cordialement.
>
> Pierre
Un point encore qui m'est revenu après ma première réponse : ton
hypothèse de départ est qu'un tiers mal intentionné puisse trouver la
valeur stockée : cela pose un problème de sécurité d'une autre nature.
En effet, cet agresseur ne pourra rien faire du résultat du hash stocké
dans la base de données. Néanmoins, s'il a accès à la base pour
consulter les hashs, il y a peut être aussi accès en écriture, et dans
ce cas rien ne l'empêche de remplacer une valeur par le hash de son
propre mot de passe ...
J'avais eu l'occasion de procéder ainsi pour dépanner un lycée qui avait
perdu le mot de passe "admin" d'un module de son intranet. Le serveur
était un serveur LAMP, et grâce à Phpmyadmin j'ai pu accéder à la base
MySql qui contenait les données dudit module. Il a été très facile de
retrouver la table qui contenait les login et le md5 des mots de passe.
J'ai donc recalculé le hash d'un mot de passe bateau, du style "toto",
et par un simple copier/coller, j'ai intégré dans la base le md5 de ce
nouveau mot de passe dans l'enregistrement relatif à "admin" ... J'ai pu
ensuite me connecter à l'application avec le couple de données
"admin/toto" ...
Certes, j'avais physiquement accès à la machine sur laquelle tournait
l'application. Néanmoins, cet exemple pose le problème de la sécurité
informatique d'une manière plus générale : sécurisation du serveur, de
la base de données, choix d'un mot de passe fort, etc ...
--
YannicK
yann801 *arobase* yahoo *point* fr
yann801 *at* yahoo *dot* fr
|
 cette fonctionnalité est reservée aux membres ayant une session active !
|
Fermer session 
Chargement en cours...
charte
stats
Groupes favoris (
Groupes récents (1)
fr.misc.cryptologie
Pour commencer 
Usenet: c'est quoi? 
Internet
Tous les groupes 
Hiérarchie des Usenets 
fr. Groupes français 
