THEME: Protocole OpenSSL et La Faille Heartbleed

Transcription

1 THEME: Protocole OpenSSL et La Faille Heartbleed Auteurs : Papa Kalidou Diop Valdiodio Ndiaye Sene Professeur: Année: Mr, Gildas Guebre

2 Plan Introduction I. Définition II. Fonctionnement III. Heartbleed : C est quoi? IV. Gravité de la faille V. Origine de la faille Conclusion

3 Introduction Depuis sa création, le réseau Internet a tellement évolué qu'il est devenu un outil essentiel de communication. Cependant, cette communication met de plus en plus en jeu des problèmes stratégique liés à l'activité des entreprises sur le Web. Les transactions faites à travers le réseau peuvent être interceptées, d'autant plus que les lois ont du mal à se mettre en place sur Internet, il faut donc garantir la sécurité de ces informations, c'est la cryptographie qui s'en charge a travers des protocoles qui aident à préserver la confidentialité des données mais aussi à garantir leur intégrité et leur authenticité. Notre étude aujourd'hui va porter sur Open SSL.

4 I. Définition 1/2 SSL (Secure Sockets Layers, que l'on pourrait traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procédé de crytographie par clef publique afin de garantir la sécurité de la transmission de données sur internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines (un client et un serveur) après une étape d authentification. De cette manière, SSL est transparent pour l'utilisateur (entendez par là qu'il peut ignorer qu'il utilise SSL). Par exemple un utilisateur utilisant un navigateur internet pour se connecter à un site de commerce électronique sécurisé par SSL enverra des données chiffrées sans aucune manipulation nécessaire de sa part.

5 I. Définition 2/2 La quasi intégralité des navigateurs supporte désormais le protocole SSL. Netscape Navigator affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL. Un serveur web sécurisé par SSL possède une URL commençant par où le "s" signifie bien évidemment secured(sécurisé). Au milieu de l'année 2001, le brevet de SSL appartenant jusqu'alors à Netscape a été racheté par l'ietf (Internet Engineering Task Force) et a été rebaptisé pour l'occasion TLS (Transport Layer Security).

6 II. Fonctionnement de SSL 2.0 1/2 La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant : Dans un premier temps, le client se connecte au site marchand sécurisé par SSL et lui demande de s'authentifier. Le client envoie également la liste des crypto systèmes qu'il supporte, triée par ordre décroissant selon la longueur des clés. Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du crypto système le plus haut dans la liste avec lequel il est compatible (la longueur de la clé de chiffrement - 40 bits ou 128 bits - sera celle du crypto système commun ayant la plus grande taille de clé).

7 II. Fonctionnement de SSL 2.0 2/2 Le client vérifie la validité du certificat (donc l'authenticité du marchand), puis crée une clé secrète aléatoire (plus exactement un bloc prétendument aléatoire), chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session). Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d'une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l'aide de clé de session, garantissant l'intégrité et la confidentialité des données échangées. Nous avons aussi le SSL 3.0 qui vise à authentifier le serveur vis-à-vis du client et éventuellement le client vis-à-vis du serveur. Malgré toutes ces choses que l on vient d évoquer concernant la fiabilité du protocole OPEN SSL, il existe quand même une faille à ne pas négliger : Heartbleed.

8 III. Heartbleed : C est quoi?

9 IV. Gravité de la faille

10 V. Origine de la faille

11 Conclusion Malgré ses défaillances au niveau de l'authentification, son utilisation est très répandue et cela prouve sa robustesse. OPEN SSL ne cesse d évoluer, et peut être qu'un jour ne présentera plus aucune faille et sera le protocole parfait pour échanger des données dans un réseau, de manière sécurisée.

12 Webographie Fin et Merci de votre Attention!!!