Sécurité de la couche de transport (TLS) 4 minutes
Transport Layer Security (TLS) est un protocole qui offre le cryptage, la confidentialité, ainsi que l’intégrité des données entre deux applications sur des ordinateurs. Il s’agit du protocole de sécurité le plus largement utilisé actuellement. Il est utilisé dans les navigateurs web ainsi que dans diverses autres applications qui nécessitent un transfert sécurisé de données sur les réseaux, comme les sessions de navigation web et le transfert de fichiers, les connexions VPN, les sessions de bureau à distance, ainsi que la voix sur IP (VoIP).
TLS est issu du protocole SSL (Secure Sockets Layer) de Netscape et l’a depuis largement remplacé, même si les mots SSL ou SSL/TLS restent occasionnellement utilisés. Les principales distinctions entre SSL et TLS qui font de TLS une option encore plus sûre et efficace sont la génération de clés, l’authentification des messages et les suites de chiffrement prises en charge et la génération de clés, TLS prenant en charge des algorithmes plus modernes et plus sûrs. TLS et SSL ne sont pas interopérables, mais TLS a une rétrocompatibilité limitée avec les systèmes existants.
Historique et développement
L’IETF (Internet Engineering Task Force) a officiellement repris le protocole SSL pour le normaliser de manière ouverte et a lancé la version 3.1 de SSL en 1999 sous le nom de TLS 1.0. Le protocole a été changé en TLS afin d’éviter des problèmes juridiques avec Netscape qui a créé le SSL comme composant majeur de son premier navigateur web. Conformément aux spécifications du protocole, TLS se compose de deux couches, à savoir le protocole d’enregistrement TLS et le protocole de poignée de main TLS. Le protocole d’enregistrement est responsable de la sécurité de la connexion, tandis que la poignée de main permet au serveur et au client de s’authentifier mutuellement et de négocier les algorithmes de cryptage ainsi que les clés cryptographiques avant le transfert des données.
Attaques TLS
Les défauts de mise en œuvre ont toujours été un problème majeur de la technologie de cryptage et TLS n’est pas différent. Le célèbre « problème Heartbleed » résulte d’une minuscule faille dans un élément de logique qui affecte l’implémentation par OpenSSL du mécanisme de battement de cœur TLS, destiné à maintenir les connexions en cours même lorsqu’aucune donnée n’est transmise. Même si le protocole TLS n’est pas vulnérable à l’attaque POODLE, car il stipule que chaque octet de remplissage doit avoir la même taille et être vérifié d’une manière différente, une variante de l’attaque a exploité certaines versions du protocole TLS qui ne valident pas correctement les exigences relatives aux octets de remplissage pour le cryptage.
Améliorations de la sécurité de TLS 1.3
La version finale a été publiée en 2018. TLS 1.3 est la version actuelle du protocole. TLS 1.3 a été développé pour corriger diverses vulnérabilités qui ont été divulguées ces dernières années, diminuer les risques d’erreurs de mise en œuvre et éliminer les fonctionnalités qui ne sont plus nécessaires. Par exemple, les hachages cryptographiques MD5 ne sont plus pris en charge, ce qui permet de sécuriser complètement la transmission, et la négociation RC4 est désormais interdite. Les vulnérabilités connues des versions précédentes de TLS, telles que BEAST, les attaques de dégradation des protocoles et CRIME, ont également disparu. Les navigateurs web populaires comme Google Chrome ainsi que Mozilla Firefox utilisent TLS 1.3 dans tous les cas, si cela est possible. En 2018, la norme de sécurité des données de l’industrie des cartes de paiement – la norme de l’industrie qui protège les transactions électroniques avec des cartes de crédit – a exigé que les utilisateurs utilisent TLS 1.1 ou plus dans tous les cas. En plus de la résilience accrue, TLS 1.3 est plus efficace en raison d’une poignée de main plus efficace entre deux systèmes.
