Depuis le milieu des années 2000, Microsoft et l’Inria mènent des recherches conjointes dans un laboratoire basé à Palaiseau (Essonne), sur le campus de l’École polytechnique.
Ils y ont notamment développé miTLS et flexTLS.
Fruits d’un projet au long cours, ces deux jeux de code ont été publiés sur GitHub – sous licence Apache – en marge du Paris Open Source Summit.
L’objectif : aider les chercheurs et experts en sécurité à créer leur propre implémentation de TLS.
Ce protocole de sécurisation des échanges est très répandu sur Internet. Il protège une grande partie des communications sur le Web, notamment à travers HTTPS.
Tandis que miTLS est une implémentation « vérifiée » de TLS, flexTLS permet de tester toute autre implémentation du protocole.
Ces résultats font partie des travaux que mène le laboratoire de Palaiseau sur la conception de systèmes dont il est possible de prouver mathématiquement la sécurité.
C’est cette même équipe alliant des chercheurs de Microsoft et de l’Inria qui a mis le doigt, ces derniers mois, sur les failles Triple Handshake, Freak et Logjam, toutes logées dans TLS.
Des recherches qui, selon le premier éditeur mondial, influencent concrètement l’évolution du protocole TLS, dont la prochaine version est attendue en 2016.
À l’origine, miTLS visait simplement à évaluer comment des implémentations académiques de TLS pouvaient être exploitées sur des systèmes en production. C’est devenu un projet pluriannuel au vu de l’importance des failles découvertes.
Il faut dire que la fragilité des protocoles de sécurisation des échanges sur Internet – ou de leur implémentation – est régulièrement démontrée.
Illustration avec SHA-1, l’un des algorithmes centraux utilisés pour le chiffrement sur Internet… jugé insuffisamment sécurisé contre des attaques par force brute.
Comme le note Silicon.fr, l’algorithme d’échange de clés Diffie-Hellman, exploité par les principaux protocoles de sécurisation du Net, a lui aussi été pointé du doigt pour sa faiblesse.
Plus récemment, une étude de l’université de Boston a monté comment les failles dans NTP, protocole de synchronisation qui permet de caler l’horloge locale des ordinateurs sur une référence, peuvent être utilisées pour mettre en péril des certificats TLS.
Crédit photo : isak55 – Shutterstock.com
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…