Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

SSL - SSL SSL - 01 SSL top

SSL (Secure Sockets Layer) (avec son successeur TLS (Transport Layer Security)) est un protocole de sécurisation des communications, sur l'Internet, chiffrant de bout en bout les données qui circulent. C'est le protocole de sécurisation le plus répandu. Trois objectifs simultanés sont poursuivis :

  • Secret des données par leur chiffrement
  • Intégrité des données par leurs condensats (Fonctions de hachage - Hashcode)
  • Authentification des interlocuteurs par leurs certificats

Tout ce qui n'est pas chiffré est vulnérable (et encore... La NSA, par exemple, a juré de casser tous les chiffrements).

Dans la relation client / serveur, qui est le mode de fonctionnement du Web (la partie de l'Internet que nous utilisons) le client est le poste de travail (l'ordinateur, celui du particulier comme celui d'un réseau d'entreprise) et le serveur est à l'autre bout, quelque part sur notre planète (celui d'une banque, d'une administration, etc.). Les données qui circulent entre deux ordinateurs passent par quantité d'ordinateurs intermédiaires qui servent de relais ou de routeurs.

SSL chiffre (crypte) les données avant qu'elles ne quittent l'ordinateur qui envoie les données et elles ne seront décryptées (déchiffrées) qu'après être entrées dans la machine à l'autre bout. On a ainsi créé un tunel dans lequel les données restent au secret de bout en bout.

Ainsi, des attaques de type « Man-in-the-middle » (ou HDM : « Homme du Milieu ») deviennent très difficiles à réaliser. L'Internet est totalement gangréné par des cybercriminels (ou des personnes de votre entourage) qui tentent d'accéder à toutes sortes d'informations personnelles, telles que vos informations bancaires, vos identifiants et mots de passe de connexion à toutes natures de sites Web ou de services en ligne (administration, santé, finances, etc.).

Lors de l'utilisation d'un navigateur Web, l'utilisateur s'aperçoit que la sécurité SSL est utilisée grâce à la présence d'un cadenas qui s'affiche et du protocole « HTTPS » qui débute l'URL (si du SSL à validation étendue est utilisé, la barre d'adresse devient verte).

SSL est d'une très grande simplicité d'usage (transparent) ce qui est la raison de son succès face à d'autres protocoles de chiffrement.

Un site Web qui ne fait transiter aucune donnée de ses visiteurs, confidentielle ou non, qui ne demande pas d'inscription et d'authentification, comme assiste.com, n'a pas besoin d'utiliser un protocole de sécurisation qui provoque des calculs consommateurs de puissance aux deux extrémités.

Toutefois, dans un mouvement général de sécurisation du Web, qui est un vaste panier de crabes, les moteurs de recherche, par exemple, tendent à faire régresser le classement des sites qui n'utilisent pas « HTTPS » et un protocole de chiffrement. Donc, pour des raisons de SEO (Search Engine Optimization), tous les sites d'un peu d'importance et pour qui le classement dans les résultats de recherche des moteurs compte passent tous à « HTTPS » et un protocole de sécurisation (SSL).

Pour les petits sites personnels, c'est quasiment impossible, car travailler avec un protocole sécurisé implique également que l'acteur (le webmaster) puisse certifier qu'il est bien celui qu'il prétend être, or cette certification s'obtient auprès d'une autorité de certification est cela est payant et doit être renouvelé sans cesse.

SSL remonte à 1994 :

  • SSL 1.0 en 1994
  • SSL 2.0 en février 1995
  • SSL 3.0 en novembre 1996

SSL n'existe plus et est remplacé par TLS, mais le sigle SSL est devenu tellement populaire qu'il continue d'être utilisé, à tord, ou d'être accolé à TLS : ).

  • TLS 1.0 en janvier 1999 (développé par l'IETF - Internet Engineering Task Force, qui produit la plupart des standards d'Internet)
  • En 2001, SSL prend le nom de TLS (on utilise le terme SSL/TLS)
  • TLS 1.1 en avril 2006
  • TLS 1.2 en août 2008
  • TLS 1.3 en chantier depuis son premier brouillon publié en avril 2014

Quasiment tous les navigateurs Web reconnaissent et savent utiliser TLS 1.0. Les navigateurs qui supportent nativement TLS 1.1 et TLS 1.2 sont :

  • Apple Safari 7 et suivants
  • Google Chrome et Chromium 30 et suivants
  • Microsoft Internet Explorer 11 et suivants
  • Mozilla Firefox 27 et suivants
  • Opera 17 et suivants
  • Microsoft Edge

Lorsqu'un site qui supporte SSL/TLS n'utilise pas HTTPS mais HTTP pour certaines de ses pages (économie de puissance de calcul sur ses serveurs), il est possible de le forcer à utiliser HTTPS sur toutes ses URL avec HTTPS Everywhere.

HTTP (non sécurisé) utilise le port 80

HTTPS (sécurisé) utilise le port 443

SSLv2.0 doit être désactivé. Cette version de SSL est parfois maintenue pour des raisons de retrocompatibilité mais sa présence permet de créer une vulnérabilité, appelée DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), dans TLSv1.2

SSLv3.0 compote une faille appelée POODLE (Padding Oracle On Downgraded Legacy)