Depuis le milieu des années 2000, Microsoft et l’Inria mènent des recherches conjointes dans un laboratoire basé à Palaiseau (Essonne), sur le campus de l’École polytechnique.
Ils y ont notamment développé miTLS et flexTLS.
Fruits d’un projet au long cours, ces deux jeux de code ont été publiés sur GitHub – sous licence Apache – en marge du Paris Open Source Summit.
L’objectif : aider les chercheurs et experts en sécurité à créer leur propre implémentation de TLS.
Ce protocole de sécurisation des échanges est très répandu sur Internet. Il protège une grande partie des communications sur le Web, notamment à travers HTTPS.
Tandis que miTLS est une implémentation « vérifiée » de TLS, flexTLS permet de tester toute autre implémentation du protocole.
Ces résultats font partie des travaux que mène le laboratoire de Palaiseau sur la conception de systèmes dont il est possible de prouver mathématiquement la sécurité.
C’est cette même équipe alliant des chercheurs de Microsoft et de l’Inria qui a mis le doigt, ces derniers mois, sur les failles Triple Handshake, Freak et Logjam, toutes logées dans TLS.
Des recherches qui, selon le premier éditeur mondial, influencent concrètement l’évolution du protocole TLS, dont la prochaine version est attendue en 2016.
À l’origine, miTLS visait simplement à évaluer comment des implémentations académiques de TLS pouvaient être exploitées sur des systèmes en production. C’est devenu un projet pluriannuel au vu de l’importance des failles découvertes.
Il faut dire que la fragilité des protocoles de sécurisation des échanges sur Internet – ou de leur implémentation – est régulièrement démontrée.
Illustration avec SHA-1, l’un des algorithmes centraux utilisés pour le chiffrement sur Internet… jugé insuffisamment sécurisé contre des attaques par force brute.
Comme le note Silicon.fr, l’algorithme d’échange de clés Diffie-Hellman, exploité par les principaux protocoles de sécurisation du Net, a lui aussi été pointé du doigt pour sa faiblesse.
Plus récemment, une étude de l’université de Boston a monté comment les failles dans NTP, protocole de synchronisation qui permet de caler l’horloge locale des ordinateurs sur une référence, peuvent être utilisées pour mettre en péril des certificats TLS.
Crédit photo : isak55 – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…