Catégorie: Séminaire
Auteur: Olivier Levillain
Date: 29 mai 2020
Depuis plusieurs années, les grands acteurs du web travaillent à l'amélioration des communications entre leurs utilisateurs et leurs services. Ces améliorations peuvent porter sur la vitesse des connexions ou sur la sécurité des échanges. QUIC fait partie des efforts en cours. Il s'agit d'un protocole en cours de standardisation à l'IETF, qu'on peut résumer à un protocole sur UDP fournissant les services de TCP/SCTP, TLS 1.3 et HTTP/2.
Comme QUIC est destiné à remplacer le couple TLS/HTTP pour un certain nombre de cas d'usage, il nous a semblé intéressant de nous y intéresser, et d'étudier les implémentations existantes.
Les travaux que nous avons menés ont consisté à réimplémenter des portions des standards QUIC avec scapy, ce qui nous a permis de nous forger une opinion sur la complexité de QUIC, puis de tester les implémentations existantes vis-à-vis de contraintes de sécurité (implicites ou explicites) tirées des drafts IETF. Bien que nous n'ayons pas mis au jour de problème majeur, nos conclusions sont d'une part que QUIC est trop complexe et d'autre part que la majorité des implémentations sont fragiles et réagissent de manière incorrecte à certains de nos stimuli.
Présenté lors du séminaire SoSySec à Rennes, France le 29 mai 2020
BibTeX Présentation Lien vers le site du séminaire