Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Ivan Ristic : « SSL commence à montrer des faiblesses »

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Ivan Ristic : « SSL commence à montrer des faiblesses »

Autre boulette de taille : SSLv2, un vieux protocole connu pour être aisément cassé (depuis au moins… 1996 !). Pourtant plus de la moitié (54,03%) des sites audités supportent aujourd’hui encore SSLv2. Et le risque existe même si le serveur supporte en parallèle une version plus récente et plus sûre (TLS v1.1 ou 1.2 par exemple) : un attaquant pourrait en effet forcer l’usage de SSLv2 si le client et le serveur supportent tous deux le vieux protocole.

La solution est pourtant relativement simple : les serveurs web devraient à minima être configurés pour refuser explicitement SSLv2 (SSLProtocol all -SSLv2) et utiliser du chiffrement plus robuste, en privilégiant notamment le protocole RC4 (SSLHonorCipherOrder On et SSLCipherSuite RC4-SHA:HIGH:!ADH).

Bien entendu tous les navigateurs ne supportent pas tous les algorithmes ou toutes les longueurs de clés. En cas de doute quant aux capacités du parc existant un audit préalable sera utile (en journalisant les requêtes SSL par exemple).

Au total, sur 120 millions de sites inspectés seulement 1% utilisent SSL (une proportion qui monte tout de même à 10% parmi le Top 1 million d’Alexa). Et parmi ceux qui font l’effort d’implémenter SSL, 67% présentent une faiblesse de configuration. Plus grave : 54% n’utilisent pas SSL pour protéger leur formulaire d’authentification.

Pour aller plus loin dans la configuration des serveurs web, le SSL Labs propose un guide de bonnes pratiques pour le déploiement de SSL qui reprend tous ces conseils et bien d’autres.

Eco-système complexe

Tous les soucis liés à SSL ne viennent cependant pas d’une mauvaise mise en oeuvre par les administrateurs de serveurs web. Le nombre d’acteurs très différent qui constituent l’éco-système SSL contribue à rendre les choses plus difficiles qu’elles ne devraient l’être. Ainsi les développeurs des librairies, des protocoles, mais aussi les Autorités de Certification, les revendeurs de certificats ou encore les développeurs des navigateurs devraient dans l’idéal oeuvrer de manière relativement coordonnée. Mais ce n’est bien entendu pas toujours le cas… « A la découverte d’une vulnérabilité SSL il faudra par exemple six mois pour corriger le protocole, puis douze mois pour corriger ses multiples implémentations et enfin encore 24 mois pour que tout le monde les déploie« , avance Ivan Ristic.

Et puis chaque maillon de cette chaîne peut également introduire une vulnérabilité : « Un navigateur embarque 100 à 150 Autorités de Certification. N’importe laquelle de ces organisations peut signer n’importe quel certificat pour n’importe quel site. Sans compter les revendeurs ou les entreprises qui disposent de certificats intermédiaires« , rappelle Ivan Ristic. Et les piratages d’Autorité de Certification en 2011, ainsi que l’usage de certificats frauduleux, ne viendront pas le contredire.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.