La faille découverte permettrait de recouvrir les mots en clair à partir de leur correspondance chiffrée. Les mots de passes les plus compliqués ne prendraient que quelques minutes à être cassés.
Selon Joshua Wright du SANS Institute et Carlos Sid du Royal Holloway College (Université de Londres) la technique utilisée pour chiffrer et stocker les mots de passes n’offre pas un niveau de sécurité suffisant : « En exploitant ces faiblesses, un intrus ayant accès à des ressources limitées pourrait initier une attaque qui permettrait de révéler le mot de passe en clair d’un utilisateur connu ». Lors de sa présentation Wright a exposé l’algorithme de chiffrement incriminé et a effectué une démonstration en temps réel de l’outil qu’il a développé pour réaliser l’attaque cryptographique. Une des faiblesses majeures réside dans le fait que ces mots de passes sont convertis en caractères majuscules avant d’êtres chiffrés, ce qui réduit considérablement l’alphabet utilise. Les deux chercheurs ont informé Oracle en Juillet dernier. Malheureusement leurs requêtes sont jusqu’alors restées sans réponse. Un document proposé par Wright et Sid qui expose plus en détail la vulnérabilité est disponible sur le site Web du SANS Institute. Norman Girard pour Vulnerabilite.com.
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…