Assaillie de tout côté, la forteresse HTTPS vacille. Malgré les cadenas affichés par les butineurs et les certificats renforcés, l’épine dorsale du commerce en ligne et de nombreuses autres activités digitales a plus que jamais besoin de consolidation. Nous allons revenir sur quelques épisodes douloureux de son passé récent et orienter notre regard vers l'horizon, là où le salut se trouvera peut-être.
La cryptographie est une science complexe et rebutante pour beaucoup de nos contemporains dont les poils se hérissent à la simple vue de formules mathématiques. Nous pourrions aisément imaginer que leurs esprits, fragilisés par des habitudes de consommation peu amènes à la réflexion approfondie, confondent certaines équations avec des arcanes de magie noire.
Pourtant les épaules de la cryptographie soutiennent de nombreux pans de nos activités numériques. Sans la confidentialité, l’authentification et l’intégrité que ses algorithmes fournissent, le commerce en ligne n’aurait pas eu l’essor qu’on lui connaît. De même, il aurait été difficile de convaincre une part non négligeable de la population connectée à utiliser des portails web pour consulter leurs comptes bancaires, effectuer des opérations financières ou réaliser des tâches qui requièrent un minimum de discrétion.
L’internaute sensibilisé, rassuré par l’affichage du fameux « cadenas » dans son…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[COMO] https://en.wikipedia.org/wiki/Comodo_Group#2011_breach_incident et https://thehackerblog.com/keeping-positive-obtaining-arbitrary-wildcard-ssl-certificates-from-comodo-via-dangling-markup-injection/index.html
[TRUS] https://ssl.trustwave.com/partners-ca-overview.php visité le 14 septembre 2016 à 14:26 CEST
[MD5C] http://www.theregister.co.uk/2008/12/30/ssl_spoofing/
[SLOT] Bhargavan K., Leurent G., « Transcript Collision Attacks: Breaking Authentication in TLS, IKE, and SSH ». Network and Distributed System Security Symposium (NDSS 2016). San Diego, CA, 22 février 2016.
[SADV] https://www.openssl.org/news/secadv/20160301.txt
[DROW] https://drownattack.com/
[BLEI] Bleichenbacher D., "Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1". CRYPTO'98, LNCS vol. 1462, pages: 1-12, 1998.
[HPKP] https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
[HSTS] https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
[CETR] https://www.certificate-transparency.org/what-is-ct
[EFFS] https://www.eff.org/observatory
[CONV] https://en.wikipedia.org/wiki/Convergence_(SSL)
[TACK] http://tack.io/draft.html
