Par Dominique Ciupa le 23/09/2011
Deux chercheurs viennent de démontrer les faiblesses du protocole SSL sensé sécuriser l'essentiel du e-commerce et des échanges de données confidentielles sur Internet. Le sujet n'est pas nouveau et les vulnérabilités du SSL notoires.
Le mythe du petit cadenas qui sécurise les échanges pour le commerce électronique en ligne à la vie dure. Madame Michu est convaincue que tout est protégé par ce cadenas. Pourtant, les vols de coordonnées bancaires n’ont pas été arrêtés par ce cadenas « SSL ». Les données ont été dérobées sur les serveurs qui gardent les données bancaires et non durant l’échange entre l’internaute et le serveur.
Dire que le commerce en ligne est menacé par le cassage de SSL n’est pas très responsable. Les mesures de sécurité pour le commerce électronique avec le PCI-DSS ne se limitent pas, loin s’en faut à un échange SSL.
Plus important : protéger les données sur les serveurs
Et le sujet n’est pas nouveau, déjà en janvier 2003, Paul-André Pays, qui avait créé la société de conseil en SSI Edelweb après avoir travaillé sur la sécurité des réseaux pour l’Inria dénonçait l’erreur d’analyse et de raisonnement : «
Protéger le canal de communication n'est pas le plus important »
expliquait-il. Cela reste vrai aujourd’hui, même si la démonstration du cassage SSL devrait être avérée dans les jours prochains. Les vrais attaques portent davantage sur les données des serveurs que sur le réseau.
Tous les experts en sécurité savent que SSL n’est pas une solution miracle, mais plutôt un truc marketing destiné à Mme Michu. SSL est vulnérable aux attaques MITM (man in the middle) et il existe même des appliances permettant, sans effort, de lire les échanges SSL en clair depuis des années : lire à ce sujet
cet article de Mag-Securs. Alors, casser le code SSL lorsque l’on peut le lire en plaçant une appliance dans le réseau n’est pas une vraie nouvelle…
Par ailleurs, les solutions de chiffrage pour les échanges des entreprises qui en France se basent notamment sur les outils de Bull Trustway ou de Thalès (gamme Mistral). Il serait très surprenant que les travaux des chercheurs sur SSL permettent de remettre en cause leur sécurité. Et pour les solutions de chiffrement gouvernementales, la crainte est encore moindre avec des équipements tels que Echinops et ses successeurs … Tous ces scénarios de vulnérabilité SSL sont connus depuis des années, et déjà pris en compte !