X

News Partenaire

PRA : ne perdez pas l’essentiel !

Ransomwares, panne d’électricité, inondations, tremblement de terre, les dirigeants d’entreprise ont pris conscience qu’ils pouvaient tout perdre en quelques minutes. Comment se prémunir de tels désastres ? La réponse se trouve dans le PRA, le plan de reprise d’activité. Méconnu, il reste incontournable pour se protéger d’un incident. Agarik accompagne les PME dans cette démarche en apportant conseils et expertises. Christophe Ruault, directeur avant-vente apporte un éclairage sur le PRA.

SHA1 : Google provoque une collision et signe l’arrêt de mort de la fonction

Considérée comme obsolète depuis 2011, la fonction de hachage SHA-1 compte toujours de nombreux adeptes. Mais les derniers travaux de Google devraient leur faire tourner casaque. Les chercheurs de Mountain View ont réussi à générer une collision. Deux PDF différents, deux chaînes de caractères différentes mais un seul et même « hash » !

Voici désormais plusieurs années que nombre d’acteurs du Web dénonce la fonction de hachage SHA-1. Celle-ci ne serait aujourd’hui plus sécurisée. Google vient d’en apporter une preuve concrète en générant une collision sur deux fichiers PDF. Rappelons que le SHA 1 est une fonction de chiffrement permettant de « hacher » une chaîne de caractères. Le « hash » est utilisé pour sécuriser des mots de passe, des certificats de sites Web et autres types de données sensibles.

Il est théoriquement impossible de retrouver la chaîne de caractères originale à partir du « hash ». De même, un « hash » est propre à une chaîne de caractères. Deux chaînes différentes passées à la fonction de hachage donnent (en théorie ) deux « hashs » différents. Sauf en cas de collision... 

Un hash unique

Une collision se produit lorsque deux données différentes passées au « hachage » donnent des hash identiques, c’est-à-dire qu’elles ont toutes deux la même chaîne de bits. Un attaquant pourra alors substituer deux fichiers, Google prend l’exemple d’un contrat d’assurance, on peut aussi imaginer le même type de processus pour le certificat d’un site. 

Normalement, les fonctions de hachage ne produisent jamais de collision mais dès 2011 des chercheurs ont démontré que les collisions étaient effectivement possibles dans le cas du SHA-1. Et Google le prouve aujourd’hui en pratique. 

Grosse puissance de calcul

Bon, Mountain View a les moyens de procéder à une collision sur SHA-1. Google explique que ce type d’attaque prendrait un an à 110 GPU et 6500 CPU pour effectuer les 9 223 372 036 854 775 808 opérations nécessaires. Il mettra en ligne par ailleurs le code que ses ingénieurs ont utilisé pour générer cette collision dans les 90 prochains jours. Vu la puissance requise, ce type d’attaque n’est pas à la portée du premier venu. Elle est néanmoins 100 000 fois plus rapide qu’une attaque par force brute contre un fichier haché en SHA-1. 

Mais cette démonstration par la pratique pourrait bien achever d’enterrer le SHA-1 au profit du SHA-256 ou du SHA-3. Google abonde en ce sens, Chrome n’accepte plus depuis ce début d’année les certificats hachés via SHA-1 et il n’est pas le seul. Firefox cessera le support de cette fonction fin 2017. 


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider


Google et les DSI

Google et les DSI

Malgré les condamnations en justice, les augmentations tarifaires, l’abandon de Google +… la firme de Mountain View aurait gagné du crédit auprès des DSI français. Depuis 2018, les contrats...

Blockchain

Blockchain

Si les premières applications exploitant des blockchains ont souvent été développées par des petites start-up innovantes, la fête est finie. Les géants de l’IT se bousculent sur un...

Informaticien « green »

Informaticien « green »

Savoir réduire l’impact environnemental de l’IT, mais aussi exploiter le digital pour faciliter la transition énergétique et de développement durable. Ces compétences sont de plus en plus...

RSS
Afficher tous les dossiers

SMARTPHONES PLIABLES : juste un truc de geeks ? - Toutes les nouveautés du MWC - La 5G en entreprise - Kit de survie en mobilité - La faillite du "10 nm" chez Intel - DaaS : la fièvre du "as a service" gagne le desktop - Identifier les bugs grâce à l'IA - Développeurs : les meilleures plates-formes pour le recrutement - Inner source : de nouvelles communautés open source...

 

BIG DATA : la maturité ! marché, technologies, retours d'expérience - L'informatique du Grand Débat - Google & les DSI : des armes de séduction fatales ? - Dataops ou quand les méthodes agiles rencontrent le Big Data - Entretien avec Luc Julia, co-créateur de Siri - Tests assistants vocaux avec écrans...

 

CYBER-RÉSILIENCE : une question d'anticipation - Tendances 2019 : Edge, SD-Wan, Cloud hybride, collaboratif, IA/deep learning, Blockchain, SaaS - 5G enjeux sécurité - Cloud chez soi : idée géniale ou idiote ? - Fin des mainframes ? - Langages les plus buggés - Véhicules autonomes : les débouchés pour les informaticiens...

 

Afficher tous les derniers numéros

L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Au cours de l'année 2018, VansonBourne a mené une enquête pour le compte de Nutanix afin de connaître les intentions des entreprises en matière d'adoption de clouds privés, hybrides et publics.

 


Pour gérer le risque informationnel et permettre à l'entreprise d'aller de l'avant, vous avez besoin d'une stratégie solide et d'un plan d'ordre en marche. RSA a développé ce livre blanc comme aide sur ces deux besoins. Il vous guide pas à pas pour mettre en place un programme de gestion des risques, basé sur des principes GRC éprouvés.


Tous les Livres Blancs
Derniers commentaires
Un véhicule autonome Toyota e-Calm 01, au salon de l'automobile de Shanghai, le 17 avril 2019Entre subventions et quotas, la Chine domine le décollage mondial de la voiture électrique et force tous les constructeurs à accélérer l'électrification de leur gamme -- tandis que d'audacieuses start-up chinoises se préparent déjà à brancher leurs modèles en Europe. [Lire la dépêche...]

Pendant une présentation de Nintendo à Tokyo, en janvier 2017L'action du pionnier japonais des jeux vidéo Nintendo s'envolait de près de 15% vendredi matin à la Bourse de Tokyo, dopée par des informations de presse annonçant l'approbation des autorités pour la vente de sa console Switch en Chine avec un jeu de la saga Super Mario Brothers. [Lire la dépêche...]

Une voiture sans conducteur d'Uber dans une rue de San Francisco, en mars 2017Le géant japonais de l'automobile Toyota et son compatriote SoftBank Group, via le fonds SoftBank Vision Fund (SVF), ont annoncé vendredi un investissement d'un milliard de dollars dans l'américain Uber, afin d'accélérer le développement de services de conduite autonome. [Lire la dépêche...]

Facebook a stocké Des "millions" d'usagers Instagram -et non des dizaines de milliers seulement- ont eu leur mot de passe stockés sur des serveurs internes sous forme non cryptée, a indiqué Facebook jeudi, revoyant à la hausse son estimation initiale. [Lire la dépêche...]

Depuis l'incendie de Notre-Dame, des entreprises ou organisations, comme Targo, Art graphique et patrimoine, GE-A, Ubisoft ou l'université de Vassar (États-Unis) ont annoncé qu'elles possédaient des plans numériques de la cathédrale ou d'une de ses parties. Tour d'horizon des technologies et de l'utilité de tels plans numériques. [Lire la dépêche...]

L'astronaute américaine Christina Koch, le 14 mars 2019, à Baïkonour au KazakhstanL'astronaute américaine Christina Koch va rester environ onze mois à bord de la Station spatiale internationale (ISS), ce qui lui permettra de battre le record féminin établi par Peggy Whitson en 2017, a annoncé la Nasa mercredi. [Lire la dépêche...]

Image de synthèse de la cathédrale Notre-Dame de Paris, créée à partir de mesures par laser réalisées par Andrew Tallon, professeur d'art américain décédé en novembre 2018

Sur le campus de Vassar College au nord de New York, une semaine avant l'incendie de Notre-Dame de Paris, une équipe universitaire s'est réunie pour planifier un ambitieux projet: répertorier un gigantesque volume de données de modélisation en 3D de la cathédrale - parmi les plus riches au monde. [Lire la dépêche...]

Sur les rives de la rivière Han à Séoul 13 octobre 2016Toute donnée mérite salaire: c'est l'idée derrière un nouveau type d'applications qui payent les internautes pour marcher ou recevoir des emails, surfant sur la vague de défiance face à la collecte massive d'informations privées en ligne. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

DEVOXX

Devoxx France qui se présente comme la première conférence indépendante pour les développeurs en France tient sa 8ème édition du 17 au 19 avril 2019 à Paris au Palais de Congrès de la Porte Maillot. Organisée par Quantixx.

F8

F8 F8

Conférence développeurs Facebook au McEnery Convention Center de San Jose (Californie) les 30 avril et 1er mai 2019. Organisé par Facebook.

BUILD

L'événement annuel développeurs Microsoft se tient au Washington State Convention Center de Seattle (WA, USA) du 6 au 8 mai 2019. Organisé par Microsoft.

GOOGLE I/O

Google reçoit sa communauté de développeurs pour 3 jours de keynotes et ateliers du 7 au 9 mai 2019 au Shoreline Amphitheatre de Mountain View près de son siège social en Californie. Organisé par Google.

VIVA TECHNOLOGY

Pour sa 4ème édition, Viva Technology, salon de l'innovation et de la croissance des start-up, se tient du 16 au 18 mai 2019 à Paris (Paris Expo, porte de Versailles). Organisé par Publicis et Les Echos.

READY FOR IT

La première édition de Ready For IT se déroule du 20 au 22 mai 2019 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.

COMPUTEX

Plus grand événement IT de la zone Asie du Sud-Est, Computex couplé avec InnoVEX se tient à Taipei du 28 mai au 1er juin 2019. Organisé par Taitra.
RSS
Voir tout l'AgendaIT