MD5

Le MD5 est une fonction de hachage, c'est aussi le nom donné au résultat de cette fonction. Le hachage MD5 d'une donnée lui fait correspondre une empreinte de 32 caractères, qui permet d'identifier la donnée initiale. Les fonctions de hachage sont très utilisées en informatique et en cryptographie.

Le hachage MD5 calcule à partir de données informatiques une empreinte numérique de 32 caractères hexadécimaux. L'algorithme utilise des fonctions non linéaires, voici les 4 fonctions principales du MD5 :

$$ F(B,C,D) = (B\wedge{C}) \vee (\neg{B} \wedge{D}) $$

$$ G(B,C,D) = (B\wedge{D}) \vee (C \wedge \neg{D}) $$

$$ H(B,C,D) = B \oplus C \oplus D $$

$$ I(B,C,D) = C \oplus (B \vee \neg{D}) $$

Le MD5 est basé sur des fonctions non linéaires (et parfois non réversibles), ainsi il n'existe pas de méthode de déchiffrement.

Cependant, une méthode bête et brute, la plus basique mais aussi la plus longue et coûteuse, est de tester tous les mots possibles dans un dictionnaire pour vérifier si leur empreinte est celle recherchée.

dCode utilise ses bases de données de mots (2 millions de mots de passe potentiels) dont est déjà pré-calculé le hash MD5. Ces tables s'appellent des tables arc-en-ciel.

Le hash est composé de 32 caractères hexadécimaux 0123456789abcdef, soit 128 bits.

Statistiquement parlant, pour toute chaîne de caractères (et il y en a un nombre infini), le MD5 associe pour une valeur donnée une empreinte de 128 bits (soit un nombre fini de possibilités). Il est donc obligatoire qu'il existe des collisions (2 chaînes de caractères ayant la même empreinte). Plusieurs travaux de recherche sur le sujet ont démontré que l'algorithme MD5, bien que créant une grande entropie des données, pouvait être attaqué, et qu'il était possible de générer des chaînes avec les mêmes empreintes (après plusieurs heures de savant calculs).

Depuis cette publication en 2005, le chiffrement MD5 n'est plus considéré comme sur cryptographiquement, laissant la place à ses successeurs : SHA1 puis SHA256.

Le MD5 est menacé par les capacités de calcul grandissantes des super-ordinateurs et processeurs capables de paralléliser les fonctions de hashage. Ainsi, pour compliquer la recherche par les tables arc-en-ciel (bases de données), il est recommander d'ajouter du sel (un préfixe ou un suffixe) au mot de passe. Avec cette étape de salage, les tables précalculées doivent à nouveau être calculées pour tenir compte du sel qui modifie systématiquement toutes les empreintes.

Une autre variante est l'application du DOUBLE MD5, qui consiste à ré-appliquer sur l'empreinte.

MD5 n'est pas la seule fonction de hashage, il existe aussi SHA1, SHA256, SHA512 etc.

MD5 veut dire Message Digest 5

Le langage PHP possède une fonctionnalité par défaut : le type juggling (Manipulation de types) qui permet de ne pas avoir à définir le type de variable utilisé, le moteur de PHP tente de détecter automatiquement si la variable est une chaîne, un entier, etc.

Cependant cette fonctionnalité peut devenir une faille lors de la manipulation de chaîne MD5 dont la valeur a la forme 0e suivi de chiffres entre 0 et 9. En effet, dans ce cas, le moteur de PHP va convertir la chaîne en un nombre flottant ayant la valeur 0.

Voici une liste de hashs MD5 magiques :

Bonus des chaînes qui peuvent aussi s'évaluer à 0 : 0e215962017, 0e730083352, 0e807097110, 0e840922711

MD5 a été proposé par Ronald Rivest en 1991