Niveau de sécurité

• Quelques attaques sur SSL

  • Craquage des secrets (cracking ciphers)
  • Attaque à clair connu (clear text attack)
  • Re-jeu (replay)
  • Attaque de l’homme du milieu (man in the middle)

Diapositive précédente

Diapositive suivante

Revenir à la première diapositive

Afficher la version graphique

Craquage des secrets (cracking ciphers)

Cryptanalyse pour factoriser la clé publique d’un serveur et en découvrir la clé privée.

Écoute des échanges complets d’une session pour obtenir la clé de session.

Attaque à clair connu (clear text attack)

Attaques par dictionnaire sur un clair connu ou pressenti (connaissance des messages échangés).

Attaque largement réalisable sur SSL. Ex. l’un des clairs les plus connus : commande HTTP « GET ».

Solution : utiliser des des clés de session de taille suffisante et de bonne qualité !

Re-jeu (replay)

Ré-émission d’un échange autorisé et enregistrée par un pirate.

Parade SSL : mise en œuvre de numéros de séquence (« nonce » : connection_id du message SERVER_HELLO) calculés sur la base d’évènements aléatoires non prédictibles, de taille 128 bits.

Attaque dite de l’homme du milieu (man in the middle)

Un pirate s’interpose entre le client et le serveur et tente d’usurper l’identité du serveur vis-à-vis du client (cas de Dsniff).

Solutions :

• Toujours utiliser des certificats serveur signés par des autorités de certification de confiance.

• Éduquer les utilisateurs à toujours vérifier le contenu d’un certificat (mapping entre le nom du serveur et le certificat).