Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 3 au 5 juin 2015.

SSL/TLS, 3 ans plus tardOlivier Levillain


Date : 04 juin 2015 à 09:00 — 30 min.

Depuis quelques années, l'actualité autour de SSL/TLS s'est accélérée. De nombreuses failles ont été mises au jour, qu'il s'agisse de faiblesses conceptuelles concernant la phase de négociation, de vulnérabilités cryptographiques affectant la protection des flux ou d'erreurs d'implémentation.

Un premier état des lieux avait été dressé en 2012. Cet article est composé de trois parties: la première se veut être une actualisation de la présentation de 2012; la seconde décrit les nombreuses failles d'implémentation qui ont touché toutes les piles SSL/TLS majeures en 2014; enfin, la dernière partie présente des pistes pour l'avenir du protocole, avec des éléments d'analyse de TLSv1.3, en cours de définition à l'IETF.