Mot de passe MD5 / CNIL

[hotep59]

Bonjour à tous,

 

Je dois répondre à un courrier de la CNIL sur la sécurisation des données de notre site Prestashop.. Notamment la façon dont sont crypté les mots de passe, je vois que Prestashop utilise le MD5 avec COOKIE_KEY cependant sur le site de la CNIL dans les choses à ne pas faire il indique justement le hachage MD5 (https://www.cnil.fr/fr/securite-chiffrer-garantir-lintegrite-ou-signer) ... Est-ce que le fait d'utiliser en concatenation le COOKIE_KEY est suffisant  et que cela va satisfaire la CNIL ?

 

Merci :)

 

[Eolia]

si la CNIL arrive à casser la cookie_key, alors oui ce n'est pas sécurisé^^

Citation

il est souvent possible de tester automatique- ment toutes les possibilités et ainsi de reconnaître l’empreinte.

Bien sur, en brute force sauf que la cookie_key + le mot de passe ca fait un champ d'au minimum 61 caractères, donc je ne vois pas trop qui irait s'embêter à lancer un programme qui lui prendrait des jours pour casser un mot de passe client pour obtenir au final juste son nom et son adresse ?

 

[doekia]

Par ailleurs la clé de 56 caractères utilise 61 symboles différents donc en base 61, le nombre de combinaisons est de 4x10¹⁰⁶, même avec 50% de collisions attendues dans le pire cas via MD5, ça donne de la marge même via DeepBlue

[Eolia]

Pouvez-vous nous dire pourquoi vous avez reçu un courrier de la CNIL ? A priori vous êtes le seul dans ce cas.

[hotep59]

Merci pour vos réponses   Je ne sais pas pourquoi nous avons reçu un courrier de la CNIL, controle aléatoire, respect du RGPD ?

 

[doekia]

En réponse à la CNIL:

Cryptage des mots de passe par hash irréversible utilisant un graine aléatoire de 56 caractères en base 61.

[hotep59]

Merci Doekia 😉

[Eolia]

il y a 10 minutes, hotep59 a dit :

Merci pour vos réponses   Je ne sais pas pourquoi nous avons reçu un courrier de la CNIL, controle aléatoire, respect du RGPD ?

 

La CNIL ne fait pas de contrôle aléatoire, par contre elle diligente des enquêtes quand elle reçoit des plaintes.

[doekia]

Par ailleurs en regardant le contexte de la page de la CNIL, ça concerne le chiffrage de contenu - ça n'est pas exactement le même domaine que la hash d'un mot de passe.

En cas de chiffrage d'un message manipulable par "l'attaquant" le brute force est plus simple et le chiffrage ce doit d'être plus robuste. Le chiffrage est de plus "réversible", pas un hash. Si tu dois répondre concernant le chiffrage le contexte est ici ton flux HTTPS.

[coeos.pro]

Nombre de combinaisons au loto : 1 906 884

Nombre de combinaisons  l'euromillion : 139 838 160

Nombre de combinaisons MD5 : 16^32 soit environ 340 000 000 000 000 000 000 000 000 000 000 000 000 

 

quand je lis ça 

Citation

Ces fonctions étant rapides à utiliser, il est souvent possible de tester automatique- ment toutes les possibilités et ainsi de reconnaître l’empreinte.

je me dit qu'à la CNIL ils ont des supers ordinateurs, même avec 1 milliard d'ordinateurs, tous capables de tester 1 milliard de combinaisons toutes les milliardièmes de secondes, il faudrait 340 000 000 000 secondes soit plus de 10.000 années pour faire le tour de ces combinaisons, et la je ne parle même pas des collisions. 

 

Mais bon, si des experts en sécurité disent que MD5 c'est pas assez pour sauvegarder des mots de passe comme password, azerty ou 123456...