La plupart des développeurs utilisent généralement le MD5 pour stocker les données sensibles de leurs utilisateurs (mot de passe, parfois numéro de carte bleu, et ainsi de suite…). Ces derniers ont tendance à considérer cette méthode de hachage comme fiable alors qu’elle ne l’est pas. En effet, dès 1996, des chercheurs en sécurité ont mis en exergue la possibilité de créer des collisions. En 2004, les collisions complètes sont découvertes et le MD5 n’est dès lors plus considéré comme fiable d’un point de vue purement cryptographique. Cependant, sa facilité d’implémentation avec PHP à l’aide de md5(); et la méconnaissance des développeurs fait que cette méthode est encore très largement rependue au détriment de fonctions de hachage plus récentes et donc plus robustes comme SHA-256.

Suite à ces découvertes, plusieurs logiciels ont vu le jour afin de permettre de bruteforcer cette méthode de hachage (et pas uniquement celle-ci). Je suis souvent amené à devoir cracker ces chaines pour montrer au décideur pressé que le travail d’obfuscation des données par son développeur ou sysadmin n’est en réalité pas vraiment fiable. « Oui vous avez réussi à accéder à ma base de donnée, et alors ? Les données de nos clients sont cryptées ». Pour montrer au décideur qu’il fait fausse route, je me dois donc souvent de « bruteforcer » une ou plusieurs informations.

» Lire la suite de Bruteforcer une chaine MD5: Nouvelles méthodes et comparatif des softs