Microsoft – Inria : de l’open source pour TLS

RisquesSécurité
microsoft-inria-tls

Microsoft et l’Inria publient, sous licence Apache, deux jeux de code pour aider les chercheurs à développer leur propre implémentation sécurisée de TLS.

Depuis le milieu des années 2000, Microsoft et l’Inria mènent des recherches conjointes dans un laboratoire basé à Palaiseau (Essonne), sur le campus de l’École polytechnique.

Ils y ont notamment développé miTLS et flexTLS.

Fruits d’un projet au long cours, ces deux jeux de code ont été publiés sur GitHub – sous licence Apache – en marge du Paris Open Source Summit.

L’objectif : aider les chercheurs et experts en sécurité à créer leur propre implémentation de TLS.

Ce protocole de sécurisation des échanges est très répandu sur Internet. Il protège une grande partie des communications sur le Web, notamment à travers HTTPS.

Tandis que miTLS est une implémentation « vérifiée » de TLS, flexTLS permet de tester toute autre implémentation du protocole.

Ces résultats font partie des travaux que mène le laboratoire de Palaiseau sur la conception de systèmes dont il est possible de prouver mathématiquement la sécurité.

C’est cette même équipe alliant des chercheurs de Microsoft et de l’Inria qui a mis le doigt, ces derniers mois, sur les failles Triple Handshake, Freak et Logjam, toutes logées dans TLS.

Des recherches qui, selon le premier éditeur mondial, influencent concrètement l’évolution du protocole TLS, dont la prochaine version est attendue en 2016.

À l’origine, miTLS visait simplement à évaluer comment des implémentations académiques de TLS pouvaient être exploitées sur des systèmes en production. C’est devenu un projet pluriannuel au vu de l’importance des failles découvertes.

Il faut dire que la fragilité des protocoles de sécurisation des échanges sur Internet – ou de leur implémentation – est régulièrement démontrée.

Illustration avec SHA-1, l’un des algorithmes centraux utilisés pour le chiffrement sur Internet… jugé insuffisamment sécurisé contre des attaques par force brute.

Comme le note Silicon.fr, l’algorithme d’échange de clés Diffie-Hellman, exploité par les principaux protocoles de sécurisation du Net, a lui aussi été pointé du doigt pour sa faiblesse.

Plus récemment, une étude de l’université de Boston a monté comment les failles dans NTP, protocole de synchronisation qui permet de caler l’horloge locale des ordinateurs sur une référence, peuvent être utilisées pour mettre en péril des certificats TLS.

Crédit photo : isak55 – Shutterstock.com

Lire aussi :