Non, SSL n’est pas mort. On aurait pourtant pu le croire à la lecture de la presse spécialisée la semaine dernière. L’annonce par des univeritaires suisses de l’interception du mot de passe de session d’une connexion SSL avait affolé les rédacteurs : on pouvait ainsi lire que « Le protocole de sécurité le plus courant d’Internet cassé », ou même apprendre que l’Ecole Polytechnique de Lausanne « pirate le principal systeme de securite sur Internet » !Mais après tout, peut-être tout cet affolement est-il légitime : SSL est le protocole le plus utilisé sur Internet pour assurer la confidentialité des transactions commerciales. Et si l’on est capable d’intercepter le mot de passe temporaire qui protège un échange SSL, cela devrait dire que n’importe quel groupe de pirates peut sniffer tous les numéros de cartes de crédits sur Internet, non ?Non. Tout d’abord, parce qu’il est beaucoup plus difficile d’intercepter un un numéro de carte bancaire sur Internet que d’aller se servir dans la base de données qui le stocke une fois l’échange terminé. Même sans SSL, les vols d’informations se feraient certainement toujours dans les bases de données, et non en chemin !Ensuite, et surtout, parce que l’attaque mise en oeuvre par l’école Polytechnique de Lausanne ne concerne que SSL utilisé dans une configuration particulière, après avoir été forcé à utiliser une classe d’algorithmes particulière (algorithmes à blocs) dans un mode particulier (CBC, Cipher Block Chaining) plutôt qu’un autre tout aussi répandu (algorithme de chiffrement de flux, tel RC4).Pour réussir l’attaque avec les produits Microsoft cités (Outlook Express 6.x par exemple), il aura donc fallu les forcer à choisir un algorithme par bloc en mode CBC au lieu du RC4 qu’ils utilisent par défaut !Seul OpenSSL, l’outil cryptographique libre, était d’emblée vulnérable car utilisant par défaut un algorithme en mode CBC. Une nouvelle version (0.9.7a) est toutefois disponible qui empêche cette attaque.Toutes ces réserves n’enlèvent rien à la qualité du travail de l’Ecole Polytechnique de Lausanne, qui a su mettre en oeuvre une attaque de laboratoire originale. Il s’agit cependant de remettre cette annonce en perspective : le petit cadenas des navigateurs n’est pas cassé !