Interception SSL TLS Fonctionnement Enjeux Risques Pratiques.pdf


Aperçu du fichier PDF interception-ssl-tls-fonctionnement-enjeux-risques-pratiques.pdf - page 6/62

Page 1...4 5 67862



Aperçu texte


Chapitre 1

Quelle différence entre SSL et TLS ?
Avant de commencer à expliquer le fonctionnement du protocole, l’article va traiter de la différence
entre SSL 1 et TLS 2 . Ceci afin d’éviter toutes confusions sur la suite de ce texte.

1.1

Historique du SSL et du TLS

Pour la petite histoire, le SSL fut créé par Netscape en 1994. Baptisée « SSL 1.0 », cette version
resta dans le domaine de la théorie. C’est en 1995 avec l’arrivée du « SSL 2.0 » que le protocole fut
utilisé. Mais cette version présentait plusieurs failles, par conséquent, la version « SSL 3.0 » fut créée
en 1996. Avec cette nouvelle version, et une nouvelle RFC 3 (6101), le protocole devint de plus en
plus utilisé et permet une nouvelle utilisation d’internet. Notamment, l’émergence du e-commerce est
fortement due à la sécurisation des connexions que procurait le « SSL 3.0 ».
En janvier 1999, un nouveau protocole fut défini, le « TLS 1.0 » mais par l’IETF 4 et non plus par
Netscape. Ce « nouveau » protocole découle directement du « SSL 3.0 », au point où le numéro de
version de « TLS 1.0 » est 3.1 : « SSL 3.1 ». La structure reste la même, seules quelques fonctionnalités
liées à la cryptographie sont améliorées. Ces modifications empêchent une compatibilité directe entre
le « SSL 3.0 » et le « TLS 1.0 », mais ce dernier à la capacité de basculer en « SSL 3.0 » selon le besoin.
Ce qui permet au TLS de se déployer petit à petit tout en gardant l’utilisation du SSL possible. Par
la suite, le TLS va subir des modifications afin qu’il soit plus sécurisé et plus abouti. On peut noter le
support du Kerberos 5 , de l’AES 6 ou encore du SNI 7 .
Par la suite, les versions « TLS 1.1 » (2006) et « TLS 1.2 » (2008) furent créées, chacun apportant
son lot d’amélioration et surtout de sécurisation dans l’établissement du canal entre le client et le
serveur. De nos jours, seules les versions « TLS 1.1 » et « TLS 1.2 » sont épargnées de vulnérabilité
connue. La version « TLS 1.0 » fut victime de BEAST 8 , ce sont les navigateurs qui permettent la
protection contre cette attaque. Par conséquent, le « TLS 1.0 » est considéré comme vulnérable même
si c’est le protocole le plus utilisé à ce jour. Le graphique fig. 1.1 p.6 9 présente l’évolution d’utilisation
des différents protocoles entre 2014 et 2016.

1.2

Obsolescence du SSL

Comme nous l’avons vu précédemment, les versions « SSL 2.0 » et « SSL 3.0 » datent respectivement
de 1995 et 1996. La première fut remplacée à cause des vulnérabilités découvertes. Par conséquent, la
RFC 6176 créée en 2011, prohibe l’utilisation de cette version.
1. Secure Socket Layer, protocole permettant de créer un canal d’échange sécurisé entre un client et un serveur.
2. Transport Layer Security, protocole permettant de créer un canal d’échange sécurisé entre un client et un serveur.
Successeur du SSL.
3. Request for comments : document décrivant un aspect technique
4. Internet Engineering Task Force : regroupement de personnes créant des RFC
5. Protocole d’authentification et d’autorisation basé sur des tickets
6. Advanced Encryption Standard : protocole de chiffrement symétrique
7. Server Name Indication : extension TLS permettant d’annoncer le CommonName du certificat à demander
8. Browser Exploit Against SSL/TLS : attaque via injection de cookie pour détourner une session SSL/TLS
9. Source : https://www.trustworthyinternet.org/ssl-pulse/

Edouard Petitjean — M2 MIAGE SIID

5