La personne s'est juste fait son mini-trip "regardez la securitay open source saytropnul personne a audité le code je suis trop un l33t"

La très moyenne qualité du hash n'a aucune importance pratique, il faudrait chiffrer deux archives dans la même milliseconde sur la même machine pour que cela ait une application quelconque, c'est très peu probable.

PAR CONTRE l'algo de dérivation de clés a partir de mots de passe est autrement plus préoccupant. Il est vulnérable a une bruteforce car le nombre d'étapes de hachage est beaucoup trop faible.

Donc faille oui mais pas la ou il la montre.