Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Ivan Ristic : « SSL commence à montrer des faiblesses »

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Ivan Ristic : « SSL commence à montrer des faiblesses »

« SSL a initialement été conçu pour protéger les numéros de cartes bancaires pendant les transactions sur Internet, mais il se retrouve aujourd’hui à protéger toute la couche transport du web, et il commence à montrer des faiblesses » explique Ivan Ristic, responsable du SSL Labs créé par Qualys.

Lorsque l’on évoque les faiblesses de SSL l’on pense en premier lieu à une éventuelle casse des algorithmes sous-jacents. Ce n’est bien entendu pas du tout le propos d’Ivan Ristic. Il s’intéresse plutôt à deux points en particulier : les faiblesses endémiques dans la mise en oeuvre de SSL par les sites web et la complexité de l’éco-système SSL, source de vulnérabilités.

Mises en oeuvre ratées

Avec Wolfgang Kandek, CTO de Qualys, Ivan Ristic a ainsi audité jusqu’à 120 millions de sites web dans le cadre du SSL Labs. Tous ne mettent pas en oeuvre SSL, mais parmi ceux qui le font beaucoup s’y prennent mal.

Première faiblesse largement répandue : la faiblesse du chiffrement. « Les clés privées inférieures à 1024 bits et les clés de sessions inférieures à 128 bits sont simples à casser« , rappelle Wolfgang Kandek.

Dans le premier cas toutefois peu de sites web publics semblent avoir un certificat protégé par une clé privée inférieure à 1024 bits (même si récemment une Autorité de Certification malaysienne a été vue délivrer des certificats à 512 bits). Mais le problème se pose pour les systèmes internes plus rarement mis à jour.

En ce qui concerne le chiffrement des sessions le risque est en revanche bien réel. Plus de 58% des sites inspectés acceptaient ainsi encore un chiffrement inférieur à 128 bits, et la quasi-totalités acceptaient une longueur de clé de 128 bits. Seuls 60,76% de bons élèves étaient également configurés pour accepter des clés de session plus longues.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.