: Tuto Par :
Explication sur le TLS/SSL : Le chiffrement des connexions internet HTTPS

Logo du bouclier + cadenas par Kirby Wu

Allez c’est parti (je sais pas ou mais c’est parti) mes loulous !

Rassurez-vous ça reste assez succinct

  1. Définitions
  2. SSL
  3. TLS
  4. Le Protocole https
  5. Les problèmes connus (failles & co)

Définitions :

Oui non par ce que les mots sont importants :

La cryptologie, étymologiquement, la science du secret. On peut lui rattacher la cryptographie, la cryptanalyse et la stéganographie.
La cryptographie est l’une des disciplines de la cryptologie sa tache est de protéger des messages elle peut avoir comme tache d’assurer la confidentialité, l’authenticité et l’intégrité du message :

  1. confidentialité : Que seul la personne qui dois recevoir le message peut le lire, lui et lui SEUL.
  2. authenticité : Assurer que le message est envoyé à la bonne personne
  3. intégrité : Assurer que le message n’a pas été modifié, volontairement ou non, lors de son transfert.

Le chiffrement est un procédé de cryptographie opéré par une machine (ou un humain) suivant une suite clair et précise d’instruction afin de chiffrer le message.

Clef/clé : élement indispensable afin de /chiffrer un message :

MessageAlgorithmecléRésultat chiffré
BonjourVerlanNordisteJourBon Cousin.
BonjourVerlanSudisteHo Salut con’ !

Déchiffrer un message c’est lire le contenu chiffré de maniere légitime.

Décrypter : Action d’accéder de manière frauduleuse à des données dont nous ne somme ni l’expéditeur, ni le destinataire.

Crypter / Cryptage : Erreur de language utilisé par des marqueteur, imbéciles, “entreprises du web digitalisé 3.0 communautaire” et autres neuneux. Ces deux mots n’existe tout simplement PAS dans la langue française, si une personne utilise ces mots et se considère comme un expert, c’est la preuve au mieux que c’est une victime, au pire un incompétent notoire qui mérite la mort par Tché-Tché… mais la plupart du temps jusque quelqu’un qui sais pas.

Divers :

Hachage : (empreinte numérique) Imaginez un steak (une donnée), vous le Hachez, vous obtenez un résultat (empreinte), transferer votre steak a votre voisin, lui aussi le hache, il obtient un résultat (empreinte). S’il obtient le même résultat que vous c’est que c’est le même steak, si le résultat est différent c’est que pendant le transfert votre steak à été altéré par quelque chose.

Salage : imaginez… un steak (une donnée). Faites en cuir (chiffer) 50 pendant 2 min, vous obtenez toujours la même chose à la fin ? Eh bien imaginez que pour chaque steak (une donnée) on ai mis une dose aléatoire de sel. Résultat on a 50 steaks cuits différent :

DonnéesChiffrementSalage Résultat
SteakPoêle (Algorithme SHA)aucun Steak fade
SteakPoêle (Algorithme SHA)aucun Steak fade
SteakPoêle (Algorithme SHA)1 pincée de sel Steak parfait
SteakPoêle (Algorithme SHA)La salière Steak trop salé

Bravo je commence à avoir faim moi avec ces histoires de steak.

Le salage est L’UN des éléments assurant la confidentialité mais n’est pas utilisé dans le protocole HTTPS, tout du moins pas sous cette forme.

Certificats : équivalents de carte d’identité, que les systèmes s’échangent afin de s’assurer que monsieur Robert est bien qu'il prétend. Dans le protocole HTTPS le certificat permet d’assurer la fonction d'authenticité.

Protocole : suite de rêgles que tout le monde suis afin de comuniquer et d’aboutir à un résultat compréhensible par tous. La langue française est un protocole (humain), si le protocole n’est pas suivi correctement deux français peuvent le plus pouvoir communiquer. En informatique c’est la même.

SSL

Premier protocole imaginé en 1994, autant dire que ça date en informatique:

  1. SSL 1.0 tellement moisie qu’elle a jamais été utilisée.
  2. SSL 2.0 première version de SSL vraiment utilisée.  bannie, en mars 2011 pour cause de multiple vulnérabilité extrême.
  3. SSL 3.0 banni en 2014 pour les mêmes raisons que la 2.0, le dernier clou sur son cercueil à été la faille nommé POODLE

A l’heure actuelle SSL ne dois plus être utilisé ! Les nombreuses failles permettent à tout pirate de casser le chiffrement presque en temps réel. Malheureusement pour des soucis de compatibilité avec d’anciens matériels SSL 3.0 est encore parfois utilisé.

C'est marant de se dire que tout le monde utilise le terme SSL mais en réalité un majeur parti des communications utilise TLS.

TLS

Imaginé en 1999 pour succéder à SSL :

  1. TLS v1.0 première mouture reste à l’heure actuelle la plus utilisée reste fiable malgré des failles découvertes
  2. TLS v1.1 Amélioration de la 1.0 elle reste au final très peu utilisé, beaucoup de système sont sortis avant la 1.1 ou après la 1.2
  3. TLS v1.2 seule version actuellement connue sans faille majeure.
  4. TLS v1.3 encore en l’état de bouillon.

Le Protocole HTTPS

Notez bien le S. C’est pour dire (pas vraiment en fait) HTTP S(LL)écurisé

Confidentialité des échanges :

Algorithme asymétrique :

Aaussi nommé chiffrement à clef publique et privée,le chiffrement asymétrique possède deux 2 clefs :

  • Quand l’utilisateur chiffre avec la première clef, il peut déchiffrer avec la deuxième clef.
  • Quand l’utilisateur chiffre avec la deuxième clef, il peut déchiffrer avec la première clef.

L’inverse n’est pas possible Par convention l’une des clés sera dite “public” et l’autre “privée”.

Seul une clé privée peut déchiffrer un message reçus et comme cette clé n’est JAMAIS diffusée seul le destinataire peut lire le message.

Le principe est simple, l’expéditeur utilise la clef publique du destinataire lui à précédemment envoyé pour chiffrer son message. Le destinataire dois utiliser sa clef privée pour déchiffrer le message de l’expéditeur, garantissant la confidentialité du contenu.

Il en éxiste deux à l’heure actuelle : RSA et ECDSA.

Dans le protocole SSL l’algorithme asymétrique est utilisé pour générer une “clé maitresse” de manières sécurisé qui sera ensuite utilisé par un algorithme symétrique.

Algorithme symétrique :

Ici il n’y a qu’une seule clé qui peut être considéré comme un simple mot de passe. Cette clé sert à la fois chiffré et à déchiffré le contenu. Elle est transférée de manière sécurisée après le chiffrement asymétrique. Et c’est ce chiffrement qui va transférer nos donnés.

Il en éxiste plein, on peut citer, dans les plus connus : AES, SHA, 3DES ou encore RC4.

Intégrité des données

Utilise une logique de hachage (va voir les définitions plus haut :D)

Pour celà il éxiste HMAC ou AEAD.

Authenticité des tiers

Elle est assurée par les certificats cités plus haut dans les définitions. Les certificats utilisent le chiffrement asymétrique.

Pour le HTTPS, ils sont décernés par des entreprises de confiances qui possèdent leurs propres certificats installés dans les navigateurs. Ainsi on assure à l’internaute que le site “chaudespatates.com" est bien qui il prétend, car il a montré patte blanche à un tiers à qui le navigateur fait confiance.

Les problèmes connus (failles & co)

Pourquoi tant d’algorithme ?

La raison est simple voilà un état des algorithmes utilisés pour https et ça fait un peut/beaucoup peur :

  • 3DES Cassé
  • RC4 Cassé
  • DES Cassé
  • IDEA Cassé
  • MD5 Cassé
  • DSS Cassé
  • PSK Cassé
  • SRP Cassé

Il en existe plein d’autre non cassés à l’heure actuelle comme AES, Camellia, ARIA et SEED ou encore AEAD SHA-1 et SHA-2

Les raisons sont multiples de voir une aussi grosse hécatombe mais pour en savoir plus je vous invite à aller voir les sources surtout le site Imirhil ou il explique en détails tous les points abordés ici.

Pourquoi la vie ?

Par-ce-que

On peut pas simplement virer les vieux algo et implémentations ?

Dernièrement de très grosse failles dans SSL on forcé à l’abandon de celui-ci mais pour TLS c’est à peine mieux

LE problème c’est qu’une partie du parc informatique mondial est vieux, TRES vieux. Forcer l’utilisation de TLS 1.2 uniquement empêche IE11 sur Windows 7 d’utiliser SSL ainsi que Android avant la 4.4.2 ce qui fait un PAQUET de monde même aujourd’hui.

Sources :

Avatar de l'utilisateur Nodoka

Nodoka

PedoQueen des intrawebz 2.0, antéchristine de la connerie, j'aime les loli, les vocaloid, l’humour noir (car le blanc est raciste) et les Animés. Promis je te mangerais trollement bien avec amour. Ma devise : "If her age is on the clock, she's old enough for the cock".

Articles Aléatoires

Sélection d'anime de l'hiver 2015/16

Sélection d'anime de l'hiver 2015/16

Petite sélection personnelle et non exaustive des animes de l'hiver 2015/16 et du visionnage... Voir +
Faille critique dans open-SSH

Faille critique dans open-SSH

Rapide hot fix pour open SSH à implémenter en attendant plus d'info Voir +
Sélection d'anime du printemps 2016

Sélection d'anime du printemps 2016

Petite sélection personnelle et non exhaustive des animes du printemps 2016 Voir +

Dernieres Quotes DTC

MacTheZazou: Youpidaki

MacTheZazou: Je suis viré de mon école pendant 3 semaines

MacTheZazou: o /

Maxigregrze: Wat

Maxigregrze: Kestafoutu

MacTheZazou: J'ai fait un flappy bird avec la tête d'un élève

Maxigregrze: Attend, quoi?

Maxigregrze: Tu veux dire que tu as été viré 3 semaines seulement car t'as dev un machin avec la tête d'un élève...?

MacTheZazou: OUI

MacTheZazou: c'est magique hein

Maxigregrze: Je vais construire un temple en ton honneur, je reviens

#19132 - Voir les commentaires

<A3fka> A tous ceux qui pensent qu'ils ont un nom de merde

<A3fka> Sachez-le :

<A3fka> Dans Pokémon version argent, dans l'arène d'Ecorcia, il y a un dresseur qui s'appelle Jean-Loïc.

#19129 - Voir les commentaires

<Kiwi> T'es super mignonne :D

<Elise> Tu es sérieux? :x

<Elise> Tu penses que j'suis jolie ? :x

<Kiwi> Mais oui

<Kiwi> j'en suis même complètement dur

<Kiwi> sur*

#14161 - Voir les commentaires

(Par the despered)

Dédicace à tous les Jean Loïc de la vraie vie.