Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La majorité des sites n'utiliserait pas correctement SSL
Selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?

Le , par Gordon Fowler

0PARTAGES

0  0 
La majorité des sites n'utilise pas correctement SSL
Selon un chercheur au Black Hat 2010, la crédibilité du protocole de chiffrement est en jeu

Décidément, chaque année le protocole SSL est une cible de choix pour les conférenciers du Black Hat, la conférence sur la sécurité informatique qui se tient une fois par an à Las Vegas.

L'année dernière, un chercheur en sécurité répondant au pseudo de Moxie Marlinspike avait mis à mal le Secure Socket Layer.

SSL est un protocole de sécurité qui protège les sites Web en chiffrant les informations sensibles pendant les transactions en ligne. Même s’il s’agit d’un protocole efficace, certains déploiements posent problèmes, notamment pour la configuration et la validation du certificat, ce qui rend alors SSL quasiment inutile et peut même compromettre la sécurité d'un site.

Cette année, c'est au tour de Ivan Ristic, chercheur chez Qualys de déclarer que « SSL est un protocole fiable [...] mais qui n’est tout simplement pas configuré correctement sur la plupart des sites ».

Pire, la grande majorité des sites qu'il a étudiés auraient un certificat SSL qui ne correspondrait pas au nom du site auquel ce certificat est censé être rattaché.

Son rapport révèle également plusieurs points préoccupants :

  • Seuls 70% des certificats sont valides

  • La moitié de tous les sites supportent encore le protocole SSLv2 (l'ancien protocole beaucoup moins fiable)
  • 62% des sites SSL ne sont pas bien configurés
  • Environ 32% des sites continuent de pâtir de la vulnérabilité liée à la renégociation


Ces remises en cause ne sont pas sans poser la question de la crédibilité du SSL.

Ce protocole, supposé rassurer l'internaute - et surtout lui assurer une sécurité supplémentaire, serait au final presque inefficace parce que très mal utilisé.

Ivan Ristic le regrette mais plaide tout de même pour sa généralisation (lire par ailleurs « Pourquoi si peu de trafic chiffré aujourd'hui ? »). Aujourd'hui, seule une fraction de l’ensemble des sites Web utilise en effet SSL.

Il milite également pour une meilleure connaissance du protocole qui, d'après lui, devrait permettre de diminuer les mauvaises pratiques.

Il joint d'ailleurs le geste à la parole puisqu'il vient de mettre au point un outil de test en ligne gratuit, baptisé Qualys SSL Labs, pour auditer la qualité des certificats SSL des sites Web.

Un test grandeur nature pour savoir si votre site (et vous même) fait partie des « bons » ou des « mauvais élèves ».

Source


Lire aussi :

Des millions de routeurs vulnérables à une technique d'exploit vieille de 15 ans, une variation de l'attaque par DNS rebinding menace

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Réseaux
Systèmes
Développement Web

Et vous ?

Faites-vous partie des « bons élèves » ou avez-vous des surprises avec le test de Qualys ?

Pensez-vous que le protocole SSL soit encore crédible ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de grunk
Modérateur https://www.developpez.com
Le 30/07/2010 à 9:57
A propos de https://cfspart.impots.gouv.fr
This server is vulnerable to MITM attacks because it supports renegotiation (more info here).
Et un score de 52/100 ... c'est rassurant

Quoi qu'il en soit pour moi le protocole ssl reste une valeur sure et les navigateurs on fait de gros progrès pour détecter les certificats louche ou non valide qui pourrait nous exposer.
0  0 
Avatar de Inazo
Membre confirmé https://www.developpez.com
Le 30/07/2010 à 10:24
Bonjour,

Intéressant en effet et il ne met pas a disposition un guide des bonnes pratiques de mise en place de SSL ?

Et les certificats auto-signé ? Beaucoup moins bon ?

EDIT : Je viens de faire le test sur un hébergeur connu plein de 1, 85/100...

Cordialement,
0  0 
Avatar de Michaël
Expert éminent https://www.developpez.com
Le 30/07/2010 à 10:30
Je ne vois pas en quoi ils ont fait des progrès... un certificat c'est soit il est valide, soit il ne l'est pas.
Si le nom du certificat ne correspond pas au nom du site : il n'est pas valide.
S'il est auto-signé : il n'est pas valide. Je viens de créer un certificat pour www.mabanque.fr : est-ce que pour autant je suis www.mabanque.fr ? Non.
Si le certificat n'a pas été signé par une autorité de certification de confiance, il n'est pas valide. Il n'y a aucun progrès à faire sur la validité d'un certificat mais plutôt sur son utilisation.

Après pour les bonnes pratiques, ne pas permettre sslv2, ne pas utiliser de certificat auto-signé, utiliser des crl/oscp, surveiller les dates d'expiration/renouvellement des certificats en ligne, etc. Il faut aussi faire attention aux chiffrements autorisés (ne pas utiliser des chiffrements faibles aujourd'hui).

Pour le test de qualys : ils y vont un peu fort ! J'ai pas envie d'avoir un certificat qui accepte tous les préfixes de domaine.
Prefix handling : Not valid for "****.fr" CONFUSING
0  0 
Avatar de Tinmar88
Nouveau membre du Club https://www.developpez.com
Le 30/07/2010 à 10:41
Bon ben il n'y a pas que des mauvais élèves.
Ma banque a une moyenne de 85/100 c'est rassurant!
0  0 
Avatar de jfsenechal
Membre averti https://www.developpez.com
Le 30/07/2010 à 11:56
Je viens de faire le test pour mon site pas terrible

c'est quoi la weak key ?

"Weak key (Debian) Yes INSECURE"
0  0 
Avatar de marcusien
Membre averti https://www.developpez.com
Le 30/07/2010 à 12:30
Paypal n'a un résultat que de 85/100 avec une vulnérabilité pour les attaques par Man In The Middle...On pourrait au moins s'attendre de leur part à un beau 100%
0  0 
Avatar de Michaël
Expert éminent https://www.developpez.com
Le 30/07/2010 à 12:35
@jf_homer : Il y a eu un problème avec openssl sur debian : il faut que tu mettes à jour ton serveur et que tu recréés une paire de clés. Enfin je pense qu'il parle de ça
0  0 
Avatar de atb
Membre éclairé https://www.developpez.com
Le 30/07/2010 à 13:14
Ce test est-il fiable ? Par ce que ma banque a eu un score de 56

Par contre mail.gmail.com est à 85.

Avons-nous un site à 100% ?
0  0 
Avatar de marcusien
Membre averti https://www.developpez.com
Le 30/07/2010 à 13:21
@atb : Non il n'y a pas de 100% qui ait été testé sur le site apparemment. Regarde dans les Recent Best-Rated le mieux c'est 93%
0  0 
Avatar de djouk
Membre régulier https://www.developpez.com
Le 30/07/2010 à 13:47
c'est la 1 ère que j'ai entendu parler de ce protocole "SSL"
0  0