Présentation
EnglishRÉSUMÉ
Cet article a pour objet la sécurisation des applications de type client-serveur sur Internet. La démarche de sécurité permet d’identifier les biens sensibles (ressources puis échanges) qui doivent être protégés dans l’opération de transaction. De par sa robustesse, sa généralisation et sa commodité, le protocole TLS s’avère un constituant essentiel dans un réseau sécurisé. Il répond aux objectifs de sécurité, en assurant l’authentification mutuelle des acteurs, la confidentialité, l’intégrité spatiale et temporelle des transactions.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Cyril TESSEREAU : Expert sécurité, Silicomp-AQL
INTRODUCTION
Dire qu’Internet prospère est aujourd’hui une affirmation des plus en vogue. Mais au-delà de la constatation, il est intéressant de remarquer que l’essor d’Internet se caractérise par la généralisation d’un mode de fonctionnement qui existait auparavant dans les systèmes de terminaux : un nombre limité de serveurs concentre et traite des requêtes provenant d’une multitude de clients. Là où le réseau des réseaux se distingue de ce modèle, c’est par la nature de ses clients : non pas un parc homogène de terminaux bien connus, dédiés à une seule fonction, mais une foule hétérogène et anonyme d’ordinateurs exécutant pele-mêle toutes sortes d’applications. La mixité inhérente des informations, la vulnérabilité du commun ingénu suscitant la malveillance du profiteur habile, l’improbabilité de modéliser finement les usagers du réseau, effacent alors définitivement toute possibilité d’exploiter Internet dans une confiance mutuelle et générale. Pourtant, quoi qu’il en soit, l’inextricable Toile doit être sécurisée afin d’en tirer un service viable : à charge pour le chercheur et l’ingénieur de fournir les cadres convenables. Ici, on s’intéresse en particulier à examiner comment la cryptologie et l’ingénierie de protocole s’allient pour rendre sûres des applications telles que le commerce en ligne.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
4. SSL, TLS : de la genèse au standard
4.1 Netscape : la naissance de SSL
Ainsi que cela a été évoqué précédemment, le commerce électronique, et donc le Web, est l’application clef pour un protocole de sécurité de transport. Il était donc naturel que l’ingénierie de ce protocole soit réalisée par le leader des clients Web de l’époque, Netscape Communications. Le fruit de ces réflexions est Secure Socket Layer (SSL), dont les premiers résultats remontent à 1994 avec la version 1.0 (qui ne fut pas déployée) puis, peu après, avec la publication de SSL 2.0. Inclus initialement dans Netscape Navigator 2, parfaitement transparent pour l’utilisateur, sans concurrence, SSL s’est immédiatement rendu incontournable et les autres navigateurs ont rapidement emboîté le pas de Netscape en implémentant son protocole. Depuis 1998, le projet libre OpenSSL met à disposition de la communauté une implémentation qui fait désormais référence.
HAUT DE PAGE4.2 Extension dans l’industrie : le standard de fait
Popularisé par le Web, mais n’y étant pas lié de façon stricte, SSL a pu être utilisé pour d’autres applications comme la messagerie (extensions pour IMAP4/POP3 – SMTP) ou à des fins différentes comme le Single Sign On (SSO), sur lesquelles on reviendra. C’est donc naturellement que SSL est devenu un standard de fait de l’industrie et que SSL 3.0, version stable du protocole, a été soumis en 1996 à l’IETF pour une standardisation formelle.
Le protocole fut en pratique repris au sein des groupes de travail sous le nouveau nom de Transport Layer Security (TLS). Après quelques aménagements mineurs, le standard TLS/1.0 fut édité en 1999 en tant que RFC 2246. L’analyse des protocoles permet de constater que la différence entre SSL 3.0 et TLS/1.0 est symbolique, aussi les puristes pardonneront que l’on se permette de les amalgamer par la suite pour ne détailler que TLS, même si SSL 3.0 est toujours le plus utilisé (du fait de son antériorité).
Tout l’intérêt de TLS est que, constituant un protocole autonome, il est indépendant de TCP et de IP et les laisse inchangés. Cela permet d’apporter de la sécurité dans le système de protocoles sans devoir en reprendre la conception. TLS ne remplace pas non plus TCP, car cela...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
SSL, TLS : de la genèse au standard
BIBLIOGRAPHIE
-
(1) - KERCKHOFFS (A.) - La cryptographie militaire. - Journal des sciences militaires. Vol. IX, p. 5-38, janv. 1883 ; p. 161-191, fév. 1883.
-
(2) - DIFFIE (W.), HELLMAN (M.E.) - New directions in cryptography. - IEEE Transactions on Information Theory. IT-22, 644-654 (1976).
-
(3) - RÉMI (F.) - La cyptographie à clé publique. - Pour la Science. Dossier no 36 : L’art du Secret, 44-51 (juil.-oct. 2002).
-
(4) - TESSEREAU (C.), HÉBRARD (P) - Un nouveau standard de sécurisation des réseaux. - Pour la Science. Dossier no 36 : L’art du Secret, 69-71 (juil.-oct. 2002).
-
(5) - BRUMLEY (D.), BONEH (D.) - Remote timing attacks are practical. - 12th Usenix Security Symposium (août 2003).
-
(6) - KLIMA (V.), POKORNY (O.), ROSA (T.) - Attacking RSA-based Sessions in SSL-TLS - (15 mars...
NORMES
-
Information technology – Open Systems Interconnection – The Directory : Overview of concepts, models and services - ITU-T Rec. X.500 - 02-01
-
Information technology – Open Systems Interconnection – The Directory : Public-key and attribute certificate frameworks - ITU-T Rec. X.509 - 03-00
-
Technologies de l’information – Interconnexion de systèmes ouverts (OSI) – L’annuaire : vue d’ensemble des concepts, modèles et services - ISO/CEI 9594-1 - 12-98
-
Technologies de l’information – Interconnexion de systèmes ouverts (OSI) – L’annuaire : cadre d’authentification - ISO/CEI 9594-8 - 08-04
-
Digital Signature Standard (DSS) - NIST FIPS 186-2 - 01-00
-
Secure Hash Standard (SHS) - NIST FIPS 180-2 - 08-02
-
Digital Encryption Algorithm – Modes of Operation - ANSI X3.106 - 1996
-
...
ANNEXES
Internet Engineering Task Force (IETF)
International Telecommunication Union – Telecom Standardization (ITU-T)National Institute of Standards and Technology (NIST)American National Standards Institute (ANSI) HAUT DE PAGEOpenSSL
HAUT DE PAGECet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive