chiffrement par défaut

Pirater un fichier zip protégé par un mot de passe

Un bug a été découvert dans l’outil d’archivage et de compression ZIP. Possibilité d’ouvrir un fichier protégé par un mot de passe via un autre password !

Imaginez ! Vous protégez des informations avec l’outil de compression ZIP. Vous mettez un mot de passe, vous choisissez la sécurisation par AES256 et vous voilà avec un archivage qui semble sécurisé.

Sauf que…

Regardez dans la vidéo proposée sur le YouTube de ZATAZ comment le mot de passe « Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You« , qui dépasse toutes les attentes concernant les recommandations de sécurisation, ne sert à rien.

Pour être précis, c’est le format ZIP qui est fautif. Ce « bug » est lié à la génération d’une clé de chiffrement à partir d’un mot de passe. Cette clé est dérivée du hash SHA1 du mot de passe. Nous voilà avec une collision de hash. Bilan, et en théorie, puisque plusieurs mot de passe peuvent fonctionner. Le risque reste cependant extrêmement faible.

« Par une attaque via force brute, on aurait sans doute plus de chance de tomber sur le vrai mot de passe initial que sur un mot de passe « alternatif » ! » confirme François DORIN, développeur, Gérant de CUSTOM DEV.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.