SSL et le mythe de sécurité

Il y a un mythe persistant sur le SSL. La prĂ©misse veut que si on utilise de la cryptographie pour protĂ©ger la communication, tous les problĂšmes de sĂ©curitĂ© seront rĂ©glĂ©s. Cette croyance est trĂšs forte chez les non-patriciens (la vue d’un cadenas sur une page web est souvent suffisante pour crĂ©er une impression de confiance) et Ă©tonnamment chez plusieurs praticiens en sĂ©curitĂ©. MĂȘme Bruce Schneier y croyait dur comme fer lorsqu’il a Ă©crit “Cryptography Applied”. Il s’est vite rendu compte que la sĂ©curitĂ© est beaucoup plus complexe et comme il est possible de voir dans ses livres subsĂ©quents, son regard a Ă©voluĂ©. On parle ici du milieu des annĂ©es 90!

Le chiffrement de la communication sert Ă  protĂ©ger le contenu contre les yeux trop curieux de Ève. Dans le cas d’une communication web, le protocole utilisĂ© (SSL ou TLS) permet d’encapsuler le message Ă  protĂ©ger dans une enveloppe opaque (chiffrement). Seules la source et la destination de la communication peuvent en voir le contenu, dans ce cas-ci le navigateur web et le serveur web (il existe des scĂ©narios plus complexes avec des mandataires et accĂ©lĂ©rateurs, mais aux fins de l’explication je vais me limiter Ă  une communication simple). Accessoirement, il est possible de valider l’identitĂ© de la source et/ou de la destination. Dans le monde web, seul le serveur web est authentifiĂ©, par la comparaison du nom de domaine dans le certificat et celui qui est accĂ©dĂ© rĂ©ellement.

Maintenant, une mesure de protection sert Ă  se prĂ©munir contre une menace. Dans le cas du chiffrement d’une communication web, ça sert Ă  ce que l’information ne soit pas accessible par un tiers non autorisĂ©, Ève. Jusque-lĂ  tout va bien. Cela dit, il faut placer les choses en contexte. Pour que Ève soit en mesure d’intercepter la communication, faut-il qu’elle soit capable de se placer entre la source et la destination. Le cas le plus courant est par les rĂ©seaux sans fil non protĂ©gĂ©. Dans ce cas, il est primordial que la communication soit chiffrĂ©e (voir Cachez cette sĂ©curitĂ© que je ne saurais voir), puisque le WiFi est un mĂ©dium partagĂ©, aka toutes les communications sont accessibles Ă  tous les terminaux qui sont dans le champ des ondes ou branchĂ© sur le mĂ©dium partagĂ© (Ethernet non commutĂ©). Dans le cas d’une communication faite sur un rĂ©seau n’ayant pas un mĂ©dium partagĂ©, il est difficile de se placer pour voir la communication et c'est carrĂ©ment illĂ©gal de le faire (faite la lecture de l’article 184 du Code criminel du Canada, pour vous Ă©viter d’aller croupir 5 ans en prison). Dans les scĂ©narios, il faut aussi considĂ©rer la valeur de l’information qui est transitĂ©e, puisque si c'est seulement un formulaire de commentaires, personne ne mettra d’énergie pour intercepter spĂ©cifiquement cette information. Si c'est un site peu connu, il est peu probable que quelqu'un s’y intĂ©resse. Dans le cas de site plus connu, comme Facebook par exemple, il est probable que des personnes soient tentĂ©es d’intercepter les communications pour hijacker la session, comme l’a si bien dĂ©montrĂ© Firesheep.

La sĂ©curitĂ© c'est un ensemble de choses, qui pris individuellement ne serve pas Ă  grand-chose. Rien n’est totalement noir ou blanc en sĂ©curitĂ©.

