« SSL a initialement été conçu pour protéger les numéros de cartes bancaires pendant les transactions sur Internet, mais il se retrouve aujourd’hui à protéger toute la couche transport du web, et il commence à montrer des faiblesses » explique Ivan Ristic, responsable du SSL Labs créé par Qualys.

Lorsque l’on évoque les faiblesses de SSL l’on pense en premier lieu à une éventuelle casse des algorithmes sous-jacents. Ce n’est bien entendu pas du tout le propos d’Ivan Ristic. Il s’intéresse plutôt à deux points en particulier : les faiblesses endémiques dans la mise en oeuvre de SSL par les sites web et la complexité de l’éco-système SSL, source de vulnérabilités.

Mises en oeuvre ratées

Avec Wolfgang Kandek, CTO de Qualys, Ivan Ristic a ainsi audité jusqu’à 120 millions de sites web dans le cadre du SSL Labs. Tous ne mettent pas en oeuvre SSL, mais parmi ceux qui le font beaucoup s’y prennent mal.

Première faiblesse largement répandue : la faiblesse du chiffrement. « Les clés privées inférieures à 1024 bits et les clés de sessions inférieures à 128 bits sont simples à casser« , rappelle Wolfgang Kandek.

Dans le premier cas toutefois peu de sites web publics semblent avoir un certificat protégé par une clé privée inférieure à 1024 bits (même si récemment une Autorité de Certification malaysienne a été vue délivrer des certificats à 512 bits). Mais le problème se pose pour les systèmes internes plus rarement mis à jour.

En ce qui concerne le chiffrement des sessions le risque est en revanche bien réel. Plus de 58% des sites inspectés acceptaient ainsi encore un chiffrement inférieur à 128 bits, et la quasi-totalités acceptaient une longueur de clé de 128 bits. Seuls 60,76% de bons élèves étaient également configurés pour accepter des clés de session plus longues.