Le protocole SSL et son successeur TLS sont les pierres angulaires de la sécurité de nombreux services Internet. Suite aux récentes révélations d'Edward Snowden, le grand public et les médias se font l'écho de rumeurs plus ou moins fondées sur la sécurité de ces protocoles. Il est grand temps de dissiper les doutes en analysant leur fonctionnement, les attaques connues et les contre-mesures disponibles.
1. Un peu d'histoire
Il est courant d'entendre parler du protocole SSL (Secure Sockets Layer), de TLS (Transport Layer Security) voire parfois de SSL/TLS, mais peu nombreux sont ceux qui comprennent les différences entre SSL et TLS, et leurs différentes versions.
1.1 SSLv1
La légende dit que la première version de SSL, SSLv1, a été conçue en 1994 au sein de la société Netscape Communications, afin de répondre au besoin de confidentialité des échanges web, mail et news de ses utilisateurs. La domination du marché des navigateurs par Netscape a pour conséquence que la société va concevoir SSLv1 seule, avec les experts en cryptographie dont elle dispose. La première version du protocole, SSLv1, est fidèle aux préceptes de Brooks [BROOKS75] : « Plan to throw one away ; you will, anyhow ». Elle ne sera jamais publiée ni implémentée dans un produit disponible au public, en raison de problèmes de conception [OPPLIGER09].
1.2 SSLv2
La première...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
