: Tuto Par :
Explication sur le TLS/SSL : Le chiffrement des connexions internet HTTPS

Logo du bouclier + cadenas par Kirby Wu

Allez c’est parti (je sais pas ou mais c’est parti) mes loulous !

Rassurez-vous ça reste assez succinct

  1. Définitions
  2. SSL
  3. TLS
  4. Le Protocole https
  5. Les problèmes connus (failles & co)

Définitions :

Oui non par ce que les mots sont importants :

La cryptologie, étymologiquement, la science du secret. On peut lui rattacher la cryptographie, la cryptanalyse et la stéganographie.
La cryptographie est l’une des disciplines de la cryptologie sa tache est de protéger des messages elle peut avoir comme tache d’assurer la confidentialité, l’authenticité et l’intégrité du message :

  1. confidentialité : Que seul la personne qui dois recevoir le message peut le lire, lui et lui SEUL.
  2. authenticité : Assurer que le message est envoyé à la bonne personne
  3. intégrité : Assurer que le message n’a pas été modifié, volontairement ou non, lors de son transfert.

Le chiffrement est un procédé de cryptographie opéré par une machine (ou un humain) suivant une suite clair et précise d’instruction afin de chiffrer le message.

Clef/clé : élement indispensable afin de /chiffrer un message :

MessageAlgorithmecléRésultat chiffré
BonjourVerlanNordisteJourBon Cousin.
BonjourVerlanSudisteHo Salut con’ !

Déchiffrer un message c’est lire le contenu chiffré de maniere légitime.

Décrypter : Action d’accéder de manière frauduleuse à des données dont nous ne somme ni l’expéditeur, ni le destinataire.

Crypter / Cryptage : Erreur de language utilisé par des marqueteur, imbéciles, “entreprises du web digitalisé 3.0 communautaire” et autres neuneux. Ces deux mots n’existe tout simplement PAS dans la langue française, si une personne utilise ces mots et se considère comme un expert, c’est la preuve au mieux que c’est une victime, au pire un incompétent notoire qui mérite la mort par Tché-Tché… mais la plupart du temps jusque quelqu’un qui sais pas.

Divers :

Hachage : (empreinte numérique) Imaginez un steak (une donnée), vous le Hachez, vous obtenez un résultat (empreinte), transferer votre steak a votre voisin, lui aussi le hache, il obtient un résultat (empreinte). S’il obtient le même résultat que vous c’est que c’est le même steak, si le résultat est différent c’est que pendant le transfert votre steak à été altéré par quelque chose.

Salage : imaginez… un steak (une donnée). Faites en cuir (chiffer) 50 pendant 2 min, vous obtenez toujours la même chose à la fin ? Eh bien imaginez que pour chaque steak (une donnée) on ai mis une dose aléatoire de sel. Résultat on a 50 steaks cuits différent :

DonnéesChiffrementSalage Résultat
SteakPoêle (Algorithme SHA)aucun Steak fade
SteakPoêle (Algorithme SHA)aucun Steak fade
SteakPoêle (Algorithme SHA)1 pincée de sel Steak parfait
SteakPoêle (Algorithme SHA)La salière Steak trop salé

Bravo je commence à avoir faim moi avec ces histoires de steak.

Le salage est L’UN des éléments assurant la confidentialité mais n’est pas utilisé dans le protocole HTTPS, tout du moins pas sous cette forme.

Certificats : équivalents de carte d’identité, que les systèmes s’échangent afin de s’assurer que monsieur Robert est bien qu'il prétend. Dans le protocole HTTPS le certificat permet d’assurer la fonction d'authenticité.

Protocole : suite de rêgles que tout le monde suis afin de comuniquer et d’aboutir à un résultat compréhensible par tous. La langue française est un protocole (humain), si le protocole n’est pas suivi correctement deux français peuvent le plus pouvoir communiquer. En informatique c’est la même.

SSL

Premier protocole imaginé en 1994, autant dire que ça date en informatique:

  1. SSL 1.0 tellement moisie qu’elle a jamais été utilisée.
  2. SSL 2.0 première version de SSL vraiment utilisée.  bannie, en mars 2011 pour cause de multiple vulnérabilité extrême.
  3. SSL 3.0 banni en 2014 pour les mêmes raisons que la 2.0, le dernier clou sur son cercueil à été la faille nommé POODLE

A l’heure actuelle SSL ne dois plus être utilisé ! Les nombreuses failles permettent à tout pirate de casser le chiffrement presque en temps réel. Malheureusement pour des soucis de compatibilité avec d’anciens matériels SSL 3.0 est encore parfois utilisé.

C'est marant de se dire que tout le monde utilise le terme SSL mais en réalité un majeur parti des communications utilise TLS.

TLS

Imaginé en 1999 pour succéder à SSL :

  1. TLS v1.0 première mouture reste à l’heure actuelle la plus utilisée reste fiable malgré des failles découvertes
  2. TLS v1.1 Amélioration de la 1.0 elle reste au final très peu utilisé, beaucoup de système sont sortis avant la 1.1 ou après la 1.2
  3. TLS v1.2 seule version actuellement connue sans faille majeure.
  4. TLS v1.3 encore en l’état de bouillon.

Le Protocole HTTPS

Notez bien le S. C’est pour dire (pas vraiment en fait) HTTP S(LL)écurisé

Confidentialité des échanges :

Algorithme asymétrique :

Aaussi nommé chiffrement à clef publique et privée,le chiffrement asymétrique possède deux 2 clefs :

  • Quand l’utilisateur chiffre avec la première clef, il peut déchiffrer avec la deuxième clef.
  • Quand l’utilisateur chiffre avec la deuxième clef, il peut déchiffrer avec la première clef.

L’inverse n’est pas possible Par convention l’une des clés sera dite “public” et l’autre “privée”.

Seul une clé privée peut déchiffrer un message reçus et comme cette clé n’est JAMAIS diffusée seul le destinataire peut lire le message.

Le principe est simple, l’expéditeur utilise la clef publique du destinataire lui à précédemment envoyé pour chiffrer son message. Le destinataire dois utiliser sa clef privée pour déchiffrer le message de l’expéditeur, garantissant la confidentialité du contenu.

Il en éxiste deux à l’heure actuelle : RSA et ECDSA.

Dans le protocole SSL l’algorithme asymétrique est utilisé pour générer une “clé maitresse” de manières sécurisé qui sera ensuite utilisé par un algorithme symétrique.

Algorithme symétrique :

Ici il n’y a qu’une seule clé qui peut être considéré comme un simple mot de passe. Cette clé sert à la fois chiffré et à déchiffré le contenu. Elle est transférée de manière sécurisée après le chiffrement asymétrique. Et c’est ce chiffrement qui va transférer nos donnés.

Il en éxiste plein, on peut citer, dans les plus connus : AES, SHA, 3DES ou encore RC4.

Intégrité des données

Utilise une logique de hachage (va voir les définitions plus haut :D)

Pour celà il éxiste HMAC ou AEAD.

Authenticité des tiers

Elle est assurée par les certificats cités plus haut dans les définitions. Les certificats utilisent le chiffrement asymétrique.

Pour le HTTPS, ils sont décernés par des entreprises de confiances qui possèdent leurs propres certificats installés dans les navigateurs. Ainsi on assure à l’internaute que le site “chaudespatates.com" est bien qui il prétend, car il a montré patte blanche à un tiers à qui le navigateur fait confiance.

Les problèmes connus (failles & co)

Pourquoi tant d’algorithme ?

La raison est simple voilà un état des algorithmes utilisés pour https et ça fait un peut/beaucoup peur :

  • 3DES Cassé
  • RC4 Cassé
  • DES Cassé
  • IDEA Cassé
  • MD5 Cassé
  • DSS Cassé
  • PSK Cassé
  • SRP Cassé

Il en existe plein d’autre non cassés à l’heure actuelle comme AES, Camellia, ARIA et SEED ou encore AEAD SHA-1 et SHA-2

Les raisons sont multiples de voir une aussi grosse hécatombe mais pour en savoir plus je vous invite à aller voir les sources surtout le site Imirhil ou il explique en détails tous les points abordés ici.

Pourquoi la vie ?

Par-ce-que

On peut pas simplement virer les vieux algo et implémentations ?

Dernièrement de très grosse failles dans SSL on forcé à l’abandon de celui-ci mais pour TLS c’est à peine mieux

LE problème c’est qu’une partie du parc informatique mondial est vieux, TRES vieux. Forcer l’utilisation de TLS 1.2 uniquement empêche IE11 sur Windows 7 d’utiliser SSL ainsi que Android avant la 4.4.2 ce qui fait un PAQUET de monde même aujourd’hui.

Sources :

Avatar de l'utilisateur Nodoka

Nodoka

PedoQueen des intrawebz 2.0, antéchristine de la connerie, j'aime les loli, les vocaloid, l’humour noir (car le blanc est raciste) et les Animés. Promis je te mangerais trollement bien avec amour. Ma devise : "If her age is on the clock, she's old enough for the cock".

Articles Aléatoires

Le htaccess Part Ouane

Le htaccess Part Ouane

Faire un joli HTACCESS, simplement et rapidement un site sous apache Voir +
La Censure dans les Jevidéhautlubrique

La Censure dans les Jevidéhautlubrique

La censure est PARTOUT !!!§!§§!§!§! Si si je vous jure, même moi je suis censuré (heureusement... Voir +
Explication sur le TLS/SSL : Le chiffrement des connexions internet HTTPS

Explication sur le TLS/SSL : Le chiffrement des connexions internet HTTPS

Le comment du pourquoi de l'utilisation de TLS/SSL pour proteger les communications HTTPS Voir +

Dernieres Quotes DTC

Blinght : Y’a des phrases comme ça qui méritent la mort instantanée des personnes qui les ont prononcées/ écrites !

Pouiii : Genre ?

Blinght : « je l’ai one shot en deux coups ! ». Un éclair divin et pouf, fini !

Pouiii : Ah oui, effectivement ! « Je vais aller sur face de bouc » ?

Blinght : Voilà, t’as tout compris ! « Je vais aller tâter les miches de la boulangère »

Pouiii : Y va pu rester beaucoup de beauf ! « Je suis posey/ c’est styley/ et autre conneries en –ey ». Mention spéciale : sodomisé à mort par un pon-ey.

Blinght : Les discussions « Salut lol/ Ca va lol/ ah bon lol » : la répétition abusive du terme « lol » (marche aussi avec « ^^ ») mènera désormais à une combustion spontanée.

Pouiii : Et le corolaire : les gens qui disent « lol », « mdr » ou « ptdr » alors que c’est fait pour être écrit : AVC foudroyant !

Blinght : « Je le croivai pas »… y’a même pas de supplice à la hauteur de cette infamie !

Pouiii : « c’est moi qui l’a » : si tu en trouves un, mets les dans le même panier !

Blinght : « Chuck Norris a … » : la mode est passée, fallait suivre au bon moment ! Vaporisation instantanée !

Pouiii : « C’est JUSTE insupportable JUSTE de mettre JUSTE tous les deux JUSTES mots ». Nécrose généralisée pour une lente souffrance.

Blinght : « c’est so 2012/2013/2014/2015/2016/2017 », « trop in/ trop out » et autres réflexions issues de magazines féminins. C’est pas une intervention divine mais je ne vois que le coup de tronçonneuse en diagonale de la bouche à la hanche.

Pouiii : « han, mais tu dessines/joues de la musique trop bien. Moi j’ai pas ce don ! ». C’est pas un don, ça se travaille : Disparition subite de l’ensemble du système respiratoire.

Blinght : Le musicien que je suis te remercie. Allez, sans terme précis : ceux qui font des spoilers sur les films/ séries : épectase (soyons généreux pour ceux qui font ça involontairement, la finalité de la mort étant respectée).

Pouiii :

Pouiii : J’ai super envie de te faire un gros spoiler du coup…

Blinght : Ta gueule

Pouiii : Dans le dernier épisode en date de GOT…

* Blinght has disconnected

#19852 - Voir les commentaires

J: J'ai un pote qui vire alcoolique

J: Mais à base de je bois tout seul le soir

J: :/

D: Dur :/

T: je peux l'aider

T: je peux boire avec lui

T: il sera plus tout seul

T: probleme resolu

J: ....

J: Je soumettrai l'idee

#19849 - Voir les commentaires

<Kiwi> T'es super mignonne :D

<Elise> Tu es sérieux? :x

<Elise> Tu penses que j'suis jolie ? :x

<Kiwi> Mais oui

<Kiwi> j'en suis même complètement dur

<Kiwi> sur*

#14161 - Voir les commentaires

(Par Danxter)

Il n’aurait pas aussi une amie accro au porno, nymphomane et agoraphobe par hasard? C’est pour aider un pote...