Catégorie: Conférence invitée
Auteur: Olivier Levillain
Date: juin 2017
Série: SSL/TLS
SSL/TLS a été inventé en 1995 pour protéger les connexions HTTP en confidentialité et en intégrité, permettant la naissance du commerce en ligne. Plus de 20 ans plus tard, c'est devenu la solution facile pour protéger les communications réseau, qu'il s'agisse du web, de messagerie électronique ou de tunnels sécurisés en tout genre.
Depuis 2011, de nombreuses attaques ont été présentées contre SSL/TLS. Au-delà des rustines mises en oeuvre à chaque nouvelle vulnérabilité, cela a conduit la communauté scientifique à travailler sur une nouvelle version du protocole, prenant en compte de manière profonde toutes les limitations de SSL/TLS.
Ainsi, depuis 2014, le groupe de travail de l'IETF dédié au sujet prépare TLS 1.3. Après 20 versions intermédiaires de la spécifications (drafts IETF), le standard approche d'un état stable. TLS 1.3 a de plus fait l'objet de modélisations formelles et de preuves, alors même qu'il était encore en cours de standardisation, une première à l'IETF.
L'exposé proposera le cheminement suivant : une rapide présentation historique de SSL/TLS, une description des vulnérabilités affectant le protocole, et une présentation critique de TLS 1.3, avec ses forces et ses faiblesses.
Présenté lors de la conférence Journées nationales du Pré-GDR Sécurité à Paris, France en juin 2017
BibTeX Présentation Site des journées