Le SSL et le TLS menacent nos mots de passe
publié le 21 septembre 2011 à 8h30, modifié le 21 septembre 2011 à 16h56.
Presque tous les sites qui nécessitent des données utilisateurs utilisent un protocole de sécurité appelé Secure Sockets Layer (SSL), ce dernier permet que l’interaction que nous faisons avec un site web ne soit pas infiltrée et interceptée par un tiers (par exemple lorsque nous entrons notre mot de passe sur notre service de messagerie ou lors d’une transaction bancaire). Pour imager tout cela vous pouvez regarder l’image ci-dessous.
Depuis peu les deux experts en sécurité informatique, Thai Duong et Juliano Rizzo ont déclaré avoir réussi à casser ce système, leur permettant ainsi de décrypter les données transférées entre vous et le serveur du site. Ces deux membres de la communauté informatique ont rendu publique leur découverte cette semaine, ce qui pourrait avoir de très graves conséquences.
Le problème se situe au niveau du transport layer security ( TLS ), la nouvelle génération du protocole SSL. TLS version 1.0 est vulnérable et hackable et même s’il existe des versions 1.1 et 1.2 qui ne sont pas affectées, le problème est que tous les navigateurs les supportent mais pratiquement tous les sites web utilisent encore la version 1.0.
Les navigateurs sont attendus dans les prochains jours pour mettre en place des correctifs pour résoudre ce problème. Cela pourrait aussi inciter les sites vers la mise à jour de TLS version 1.2. Solution ? S’assurer qu’aucun cheval de troie n’est sur notre ordinateur (techniquement impossible).