Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 6 au 8 juin 2012.

SSL/TLS: état des lieux et recommandationsOlivier Levillain


Date : 06 June 2012 à 11:30 — 30 min.

SSL/TLS est un protocole ayant pour but de créer un canal de communication authentifié, protégé en confidentialité et en intégrité. L'objectif initial de SSL/TLS était la sécurisation du protocole HTTP, mais son champ d'application s'est élargi depuis: protection d'autres services (SMTPS, LDAPS, etc.), création de réseaux privés virtuels (VPN), sécurisation de réseaux sans-fil (EAP-TLS).

Après un rapide historique des différentes versions de SSL/TLS et une description rapide du protocole, cet article présente un panorama des attaques connues, qu'elles portent sur le protocole en lui-même, les algorithmes cryptographiques, ou les certificats mis en oeuvre.

Cette énumération des vulnérabilités de SSL/TLS permettra de déduire des recommandations pour une utilisation sécurisée de SSL/TLS. Chaque recommandation sera validée par une expérimentation visant à déterminer la faisabilité de leur application.