Pour gérer vos consentements :
Categories: RisquesSécurité

Microsoft – Inria : de l’open source pour TLS

Depuis le milieu des années 2000, Microsoft et l’Inria mènent des recherches conjointes dans un laboratoire basé à Palaiseau (Essonne), sur le campus de l’École polytechnique.

Ils y ont notamment développé miTLS et flexTLS.

Fruits d’un projet au long cours, ces deux jeux de code ont été publiés sur GitHub – sous licence Apache – en marge du Paris Open Source Summit.

L’objectif : aider les chercheurs et experts en sécurité à créer leur propre implémentation de TLS.

Ce protocole de sécurisation des échanges est très répandu sur Internet. Il protège une grande partie des communications sur le Web, notamment à travers HTTPS.

Tandis que miTLS est une implémentation « vérifiée » de TLS, flexTLS permet de tester toute autre implémentation du protocole.

Ces résultats font partie des travaux que mène le laboratoire de Palaiseau sur la conception de systèmes dont il est possible de prouver mathématiquement la sécurité.

C’est cette même équipe alliant des chercheurs de Microsoft et de l’Inria qui a mis le doigt, ces derniers mois, sur les failles Triple Handshake, Freak et Logjam, toutes logées dans TLS.

Des recherches qui, selon le premier éditeur mondial, influencent concrètement l’évolution du protocole TLS, dont la prochaine version est attendue en 2016.

À l’origine, miTLS visait simplement à évaluer comment des implémentations académiques de TLS pouvaient être exploitées sur des systèmes en production. C’est devenu un projet pluriannuel au vu de l’importance des failles découvertes.

Il faut dire que la fragilité des protocoles de sécurisation des échanges sur Internet – ou de leur implémentation – est régulièrement démontrée.

Illustration avec SHA-1, l’un des algorithmes centraux utilisés pour le chiffrement sur Internet… jugé insuffisamment sécurisé contre des attaques par force brute.

Comme le note Silicon.fr, l’algorithme d’échange de clés Diffie-Hellman, exploité par les principaux protocoles de sécurisation du Net, a lui aussi été pointé du doigt pour sa faiblesse.

Plus récemment, une étude de l’université de Boston a monté comment les failles dans NTP, protocole de synchronisation qui permet de caler l’horloge locale des ordinateurs sur une référence, peuvent être utilisées pour mettre en péril des certificats TLS.

Crédit photo : isak55 – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago