Le SSL et le TLS menacent nos mots de passe

Presque tous les sites qui nécessitent des données utilisateurs utilisent un protocole de sécurité appelé Secure Sockets Layer (SSL), ce dernier permet que l'interaction que nous faisons avec un site web ne soit pas infiltrée et interceptée par un tiers (par exemple lorsque nous entrons notre mot de passe sur notre service de messagerie ou lors d’une transaction bancaire).

Pour imager tout cela vous pouvez regarder l’image ci-dessous.

Depuis peu les deux experts en sécurité informatique, Thai Duong et Juliano Rizzo ont déclaré avoir réussi à casser ce système, leur permettant ainsi de décrypter les données transférées entre vous et le serveur du site. Ces deux membres de la communauté informatique ont rendu publique leur découverte cette semaine, ce qui pourrait avoir de très graves conséquences.

Le problème se situe au niveau du transport layer security ( TLS ), la nouvelle génération du protocole SSL. TLS version 1.0 est vulnérable et hackable et même s’il existe des versions 1.1 et 1.2 qui ne sont pas affectées, le problème est que tous les navigateurs les supportent mais pratiquement tous les sites web utilisent encore la version 1.0.

Les deux compères ont fait leur découverte lors d’une démonstration à la conférence Ekoparty à Buenos Aires cette semaine. Il s’agit en fait de quelques lignes de JavaScript qui peuvent fonctionner comme un espion du réseau  qui permet de déchiffrer les cookies utilisés par un site pour fournir un accès à un compte utilisateur. Pour ceux qui ne le savent pas, un code javascript est très simple à utiliser, il suffit simplement de faire un copié collé de ce code dans la barre d’url, d’appuyer sur entrée et le tour est joué. Mais pour cela il faudrait déjà que la personne ait le contrôle de votre ordinateur donc les inquiétudes sont là, mais restreintes…

Les navigateurs sont attendus dans les prochains jours pour mettre en place des correctifs pour résoudre ce problème. Cela pourrait aussi inciter les sites vers la mise à jour de TLS version 1.2. Solution ? S’assurer qu’aucun cheval de troie n’est sur notre ordinateur (techniquement impossible).