Catégorie: Conférence avec actes
Auteur: Olivier Levillain
Date: juin 2015
Série: SSL/TLS
Depuis quelques années, l'actualité autour de SSL/TLS s'est accélérée. De nombreuses failles ont été mises au jour, qu'il s'agisse de faiblesses conceptuelles concernant la phase de négociation, de vulnérabilités cryptographiques affectant la protection des flux ou d'erreurs d'implémentation.
Un premier état des lieux avait été dressé en 2012. Cet article est composé de trois parties: la première se veut être une actualisation de la présentation de 2012; la seconde décrit les nombreuses failles d'implémentation qui ont touché toutes les piles SSL/TLS majeures en 2014; enfin, la dernière partie présente des pistes pour l'avenir du protocole, avec des éléments d'analyse de TLS 1.3, en cours de définition à l'IETF.
Publié dans les actes Symposium sur la Sécurité des Technologies de l'Information et de la Communication (pages 227 à 273)
Présenté lors de la conférence SSTIC à Rennes, France en juin 2015
BibTeX Document Présentation Vidéo