25 juin 2018

SSL / TLS : Que se passe-t-il le 30 juin 2018 ?

PCI-DSS

La date du 30 juin 2018 n’est peut-être pas aussi connue que celle du 25 mai 2018 avec l’application du RGPD, néanmoins, cette dernière représente également une avancée essentielle dans le monde de la sécurité des systèmes d’information.

En effet, le 30 juin 2018 correspond à la date à laquelle tous les sites Web devront disposer du protocole de chiffrement TLS dans sa version 1.1 afin d’être conforme au standard PCI Data Security Standard.

Exit SSL ainsi que TLS 1.0 pour être conforme au standard :

SSL / TLS : Fin du SSL et du TLS 1.0

Qu’est-ce que SSL / TLS 1.0 ?

SSL et TLS sont deux protocoles cryptographiques qui permettant d’assurer l’authentification du serveur, la confidentialité des données (chiffrement) ainsi que l’intégrité de ces dernières.

Les versions successives de TLS (Transport Layer Security) correspondent aux versions « revues et corrigées » de SSL (Secure Sockets Layer) à la suite de la découverte de multiples vulnérabilités. Bien que les deux protocoles ne soient pas fondamentalement ni structurellement très différents, la modification dans l’utilisation des fonctions de hachage fait que les deux protocoles ne sont pas directement interopérables.

Voici l’historique des différentes versions de SSL / TLS :

  • SSL v1.0 n’a jamais été publié pour cause de faiblesses de sécurité
  • SSL v2.0 a été publié en 1995 est n’est actuellement plus pris en compte
  • SSL v3.0 a été publié en 1996 est n’est actuellement plus pris en compte
  • TLS v1.0 a été publié en 1999 et deviendra obsolète le 25 juin 2018
  • TLS v1.1 a été publié en 2006
  • TLS v1.2 a été publié en 2008
  • TLS v1.3 a été approuvé en 2018.

Existe-t-il des risques à utiliser SSL / TLS 1.0 ?

Au fil des années, plusieurs vulnérabilités telles que POODLE, BEAST ou encore CRIME ont affectés les protocoles cryptographiques, les algorithmes qu’ils utilisent ou encore la configuration SSL/TLS.

SSL / TLS : Les vulnérabilités

Bien que ces vulnérabilités demandent de nombreux prérequis à leur exploitation, les impacts potentiels restent importants. En effet, la plupart des attaques notamment à l’encontre des protocoles permettent à un attaquant en position de Man-In-The-Middle de déchiffrer le trafic sécurisé.

Comment savoir si l’on est impacté ?

De nombreuses possibilités s’offrent à toute personne souhaitant auditer la qualité des certificats SSL/TLS des sites Web.

Néanmoins, pour nous, l’un des plus simples reste l’outil mis gratuitement à disposition par Qualys : SSL Labs

SSL / TLS : Analyse par Qualys

Conclusion

Il ne reste plus que quelques jours afin de mettre à jour vos différentes configurations SSL/TLS afin de respecter les meilleures pratiques de sécurité.

De plus, la sécurité des systèmes d’information évoluant très rapidement, il est important de rester informé de ces évolutions.

Régis Senet

Régis Senet :
Consultant BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *