Dans un avis de sécurité, Microsoft déclare avoir connaissance d'un projet de recherche prouvant une attaque réussie contre les certificats numériques X.509 signés au moyen de l'algorithme de hachage MD5.

L'attaque consisterait à fournir un faux certificat numérique ayant la même signature qu'un certificat authentique. Une attaque par collision autrement dit. Microsoft considère toutefois que le risque est faible et qu'aucune attaque pratique de ce genre n'a été démontrée. Toutefois Microsoft dit travailler activement avec les autorités de certification afin de s'assurer qu'elles ont connaissance de ce projet de recherche et afin de les encourager à utiliser l'algorithme de signature SHA-1.

MD5 n'est pas fiable

Depuis son invention en 1990, l'algorithme de hachage MD5 à souvent été pris en défaut. Déjà controversé en 1994, il a été démontré en 2004 que sous certaines conditions il était possible de lui faire générer deux signatures identiques à partir de deux fichiers différents. La possibilité d'une attaque par collision n'est donc pas nouvelle et l'ont ne peut s'empêcher de penser que Microsoft est put être une peu trop optimiste en considérant que ce risque d'attaque reste faible. Et tout récemment certains chercheurs américains, hollandais et suisses auraient réussi à créer de faux certificats VeriSign. Comment ? Par force brute, en mettant en grappe 200 consoles de jeux Playstation 3. Les certificats VeriSign sont pour l'instant utilisés par les navigateurs lors de la vérification de la légitimité des sites marchands et bancaires.