ven, 28/10/2011 - 14:08
Si le protocole SSL, fondement de la sécurité sur Internet, est en passe de s’effondrer, il vaut mieux attacher nos ceintures, car nous allons être secoués ! Par Julian Lovelock Directeur Principal ActivIdentity.
Si l’attaque présumée visant le protocole SSL (en particulier le protocole TLS V1.0) présentée par Thai Duong et Juliano Rizzo à l’occasion de la conférence Ekoparty Security est avérée, il faut marquer cette date comme une journée noire dans l’histoire d’Internet. Tel est l’avis de Julian Lovelock, directeur principal chez ActivIdentity, l’un des principaux éditeurs mondiaux de solutions d’identification sécurisée et membre du groupe HID Global.
« Pour comprendre les conséquences possibles, imaginez que la plupart des hommes portent des kilts et la plupart des femmes des jupes : tout à coup, ils se rendent compte que tous les escaliers qu’ils doivent absolument emprunter sont en verre... Ou bien, pour donner un autre exemple, imaginez que les lunettes à vision X sont soudainement mises à la disposition de tous », ajoute Julian Lovelock.
« Ce scénario a un profond impact en soi, sans même envisager les effets qu’il aurait sur la confidentialité et le respect de notre vie privée. Dans le cas présent, l’enjeu fondamental est que n’importe qui puisse désormais lire vos mots de passe et voler votre session de navigation. La technologie censée protéger votre mot de passe des regards indiscrets ne fonctionne plus et laisse donc toute latitude aux pirates équipés de lunettes à vision X qui utilisent l’outil BEAST de visualiser toutes vos actions de façon transparente. »
« Pour dire les choses clairement, la confidentialité des transactions fondée sur le protocole SSL TLS V1.0 (le plus utilisé encore aujourd’hui) est morte ! », a déclaré Julien Lovelock.
Que pouvons-nous faire désormais pour protéger nos transactions ?
Il ajoute : « L’authentification doit reposer sur un mot de passe à usage unique : ce dernier changeant constamment, il ne peut pas être réutilisé en cas de piratage et il est impossible de deviner le nouveau mot de passe lors de la prochaine authentification. Diverses techniques peuvent être utilisées à cette fin en ayant recours à la fois aux jetons OTP et à l’ICP avec réponse d’identification », explique-t-il.
Mais cela n’est pas suffisant, car le pirate peut alors simplement lire et détourner votre session.
« Par conséquent, la seule véritable défense contre les transactions frauduleuses consiste à signer tout ou partie des données de la transaction afin que le pirate ne puisse pas injecter de faux contenu. »
« Concrètement, il s’agit d’utiliser un jeton avec clavier d’identification personnelle (logiciel installé sur un téléphone ou jeton matériel dédié) pour saisir les détails de la transaction ou de signer la transaction à l’aide d’un certificat ICP. La signature cryptographique ainsi obtenue ne peut pas être contrefaite par le pirate et est intrinsèquement liée aux données de la transaction (par exemple, montant et numéro du compte destinataire d’un virement bancaire), lesquelles sont indépendantes de la sécurité du transfert et ne peuvent pas être falsifiées par le pirate », conclut-il.
« C’est le seul moyen de préserver la sécurité jusqu’à la mise à niveau de l’infrastructure depuis le protocole TLS V1.0. »
Julian Lovelock Directeur Principal ActivIdentity
A propos de l'auteur