HTTPS : bientôt le fond de l’abîme ?

Magazine
Marque
MISC
Numéro
88
Mois de parution
novembre 2016
Spécialité(s)


Résumé

Assaillie de tout côté, la forteresse HTTPS vacille. Malgré les cadenas affichés par les butineurs et les certificats renforcés, l’épine dorsale du commerce en ligne et de nombreuses autres activités digitales a plus que jamais besoin de consolidation. Nous allons revenir sur quelques épisodes douloureux de son passé récent et orienter notre regard vers l'horizon, là où le salut se trouvera peut-être.


La cryptographie est une science complexe et rebutante pour beaucoup de nos contemporains dont les poils se hérissent à la simple vue de formules mathématiques. Nous pourrions aisément imaginer que leurs esprits, fragilisés par des habitudes de consommation peu amènes à la réflexion approfondie, confondent certaines équations avec des arcanes de magie noire.

Pourtant les épaules de la cryptographie soutiennent de nombreux pans de nos activités numériques. Sans la confidentialité, l’authentification et l’intégrité que ses algorithmes fournissent, le commerce en ligne n’aurait pas eu l’essor qu’on lui connaît. De même, il aurait été difficile de convaincre une part non négligeable de la population connectée à utiliser des portails web pour consulter leurs comptes bancaires, effectuer des opérations financières ou réaliser des tâches qui requièrent un minimum de discrétion.

L’internaute sensibilisé, rassuré par l’affichage du fameux « cadenas » dans son…

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne
Références

[COMO] https://en.wikipedia.org/wiki/Comodo_Group#2011_breach_incident et https://thehackerblog.com/keeping-positive-obtaining-arbitrary-wildcard-ssl-certificates-from-comodo-via-dangling-markup-injection/index.html

[TRUS] https://ssl.trustwave.com/partners-ca-overview.php visité le 14 septembre 2016 à 14:26 CEST

[MD5C] http://www.theregister.co.uk/2008/12/30/ssl_spoofing/

[SLOT] Bhargavan K., Leurent G., « Transcript Collision Attacks: Breaking Authentication in TLS, IKE, and SSH ». Network and Distributed System Security Symposium (NDSS 2016). San Diego, CA, 22 février 2016.

[SADV] https://www.openssl.org/news/secadv/20160301.txt

[DROW] https://drownattack.com/

[BLEI] Bleichenbacher D., "Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1". CRYPTO'98, LNCS vol. 1462, pages: 1-12, 1998.

[HPKP] https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning

[HSTS] https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

[CETR] https://www.certificate-transparency.org/what-is-ct

[EFFS] https://www.eff.org/observatory

[CONV] https://en.wikipedia.org/wiki/Convergence_(SSL)

[TACK] http://tack.io/draft.html

[DIGI] https://en.wikipedia.org/wiki/DigiNotar



Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous