• Mot de passe : Papa aime Maman
  
• Son "chiffre clé" selon l'algorithme MD5 : 99685cdcbee4ac3fc7934da83b703a10
  

1. Intégrité des données
   Il est impossible de modifier la donnée (injection d'un parasite, tel un virus, modification d'un seul bit ou, tout simplement, nouvelle version de la donnée...) en lui conservant un même résultat de calcul de "chiffre clé". Par exemple : un fichier est proposé en téléchargement et son "chiffre clé" MD5 ou SHA-1 est affiché sur le site proposant ce fichier (c'est le cas de Assiste.com - regardez la zone de téléchargements du site). Une fois le fichier réceptionné, vous utilisez SummerProperties pour recalculer ce "chiffre clé" avec le même algorithme MD5 ou SHA-1. Si les deux "chiffres clé" sont identiques, le fichier réceptionné est strictement le même que celui d'origine. C'est le principe du "Contrôle d'intégrité des données" (qui ne doit pas être confondu avec l'innocuité des données - vous pouvez seulement vous assurer que le téléchargement s'est bien passé, rien d'autre - si le fichier téléchargé est un virus, vous vérifiez ainsi que vous avez reçu un virus en parfait état ! Faites-le analyser gratuitement et immédiatement par plus de 40 antivirus simultanés avant de l'exécuter (avant de l'ouvrir) !
   
   
2. Calcul à sens unique (théoriquement)
   Il n'est, théoriquement, pas possible de faire le calcul inverse : de remonter d'un "chiffre clé" (Hashcode) à la chaîne de caractères d'origine (il n'est pas possible (théoriquement) de retrouver le mot de passe à partir de son chiffre clé). Nous verrons, dans les techniques d'attaques des mots de passe, que ce vœu pieux est battu en brèche.
   
   
3. Unicité du chiffre clé
   De purs travaux de laboratoire ont permis la création de "chiffres clé" identiques (appelés "Collisions") à partir de données différentes. Ce risque est total avec les algorithmes antédiluviens et abandonnés comme CRC16 et CRC32. Ce risque existe avec les algorithmes MD5 avec lesquels il est désormais possible de créer des "Collisions". Pour prendre un peu d'avance sur les futurs développements matériels et logiciels des cybercriminels, même SHA-1 est en voie d'abandon et on commence le calcul des condensats avec SHA-256.
   

• Note 1
  D'où l'intérêt des logiciels en "Open Source" où l'on peut voir comment sont traités les données sensibles tandis qu'on ne peut qu'avoir des soupçons de malveillances avec les logiciels "propriétaire" et les sites pour lesquels aucune confiance ne peut être accordée (comme tous les réseaux sociaux, les éditeurs de logiciels proches de leurs gouvernements, les nébuleuses du "Cloud Computing" etc. ...)
  
  
• Note 2
  C'est la raison pour laquelle, lorsque vous perdez votre "mot de passe", il n'est pas possible de le retrouver car, s'il est possible de calculer un MD5 ou un SHA-1 à partir d'un "mot de passe", il n'est théoriquement pas possible de retrouver (recalculer) le "mot de passe" d'origine à partir de son MD5 ou de son SHA-1.
  
  
• Note 3
  Il serait préférable que, lors de la saisie de votre mot de passe, la communication entre votre ordinateur et celui du site distant se fasse dans un protocole de communication sécurisé (HTTPS), sinon une attaque par "sniffer" lira vos mots de passe en clair, avant qu'ils ne soient cryptés. Regardez en bas à droite de votre navigateur si un cadenas fermé apparaît. Mais le protocole HTTPS ne sera mis en œuvre que par des sites professionnels. Ce ne sera pas le cas des millions de forums, blogs etc. ... sur lesquels il faut également s'identifier (d'où l'intérêt d'utiliser des mots de passe différents).
  
  
• Note 4
  Certains sites Internet usurpent l'apparence de sites ayant pignon sur rue est utilisent des URL trompeuses. Sur de tels sites de "phishing", vers lesquels vous êtes souvent dirigés depuis un e-mail trompeur, vos identifiant et mot de passe sont stockés en clair et exploités immédiatement par des cybercriminels. Et absolument rien ne permet d'être certain de ce que font les très grands sites à la solde des gouvernements, comme Microsoft (Microsoft vous espionne) ou Google (Google vous espionne).
  

Est-il utile de vous dire qu'il est préférable de ne jamais utiliser ces services en ligne pour chiffre (crypter) vos "mots de passe" réels. De nombreux sites (tous ?) offrant ce type de services de calcul en ligne sont des sites de cybercriminels collectant ainsi des "mots de passe". Il en va de même en ce qui concerne le décryptage d'un chiffre clé (casser un condensat - chiffres clé - hashcode) : à partir du moment où vous demandez un tel décryptage, il y a fort à parier que cela concerne l'un de vos propres mots de passe et, comme l'ordinateur distant connaît l'adresse IP de votre ordinateur, le pirate qui est derrière sait quelle machine attaquer et dispose d'un "mot de passe" en clair à exploiter.

Services en ligne

• Hash Functions (Service gratuit en ligne - Calcul de chiffres clé selon de nombreux algorithmes)
  
• Reverse Hash Calculator (Service gratuit en ligne - Calcul inversé de chiffres clé)
  
• Lookup your hash (Service gratuit en ligne - Calcul inversé de chiffres clé)
  

Outils à installer de manière locale

• SummerProperties (petit programme gratuit de calcul des MD5 et SHA-1 d'un fichier sous Windows - s'implante en onglet additionnel des propriétés des fichiers de Windows - Obsolette).
• HashTab (petit programme gratuit de calcul de nombreux algorythmes (Adler32; Btih; CRC32; ED2K; Gost; MD2; MD4; MD5; Ripemd-128; Ripemd-256; Ripemd-320; SHA-1; SHA-256; SHA-384; SHA-512; SHA3-224; SHA3-256; SHA3-384; SHA3-512; TTH; Tiger; Whirlpool) de condensats (hashcodes) - s'implante en onglet additionnel des propriétés des fichiers de Windows - Vivement recommandé).