Selon un chercheur au Black Hat 2010, la crédibilité du protocole de chiffrement est en jeu
Décidément, chaque année le protocole SSL est une cible de choix pour les conférenciers du Black Hat, la conférence sur la sécurité informatique qui se tient une fois par an à Las Vegas.
L'année dernière, un chercheur en sécurité répondant au pseudo de Moxie Marlinspike avait mis à mal le Secure Socket Layer.
SSL est un protocole de sécurité qui protège les sites Web en chiffrant les informations sensibles pendant les transactions en ligne. Même s’il s’agit d’un protocole efficace, certains déploiements posent problèmes, notamment pour la configuration et la validation du certificat, ce qui rend alors SSL quasiment inutile et peut même compromettre la sécurité d'un site.
Cette année, c'est au tour de Ivan Ristic, chercheur chez Qualys de déclarer que « SSL est un protocole fiable [...] mais qui n’est tout simplement pas configuré correctement sur la plupart des sites ».
Pire, la grande majorité des sites qu'il a étudiés auraient un certificat SSL qui ne correspondrait pas au nom du site auquel ce certificat est censé être rattaché.
Son rapport révèle également plusieurs points préoccupants :
- Seuls 70% des certificats sont valides
- La moitié de tous les sites supportent encore le protocole SSLv2 (l'ancien protocole beaucoup moins fiable)
- 62% des sites SSL ne sont pas bien configurés
- Environ 32% des sites continuent de pâtir de la vulnérabilité liée à la renégociation
Ces remises en cause ne sont pas sans poser la question de la crédibilité du SSL.
Ce protocole, supposé rassurer l'internaute - et surtout lui assurer une sécurité supplémentaire, serait au final presque inefficace parce que très mal utilisé.
Ivan Ristic le regrette mais plaide tout de même pour sa généralisation (lire par ailleurs « Pourquoi si peu de trafic chiffré aujourd'hui ? »). Aujourd'hui, seule une fraction de l’ensemble des sites Web utilise en effet SSL.
Il milite également pour une meilleure connaissance du protocole qui, d'après lui, devrait permettre de diminuer les mauvaises pratiques.
Il joint d'ailleurs le geste à la parole puisqu'il vient de mettre au point un outil de test en ligne gratuit, baptisé Qualys SSL Labs, pour auditer la qualité des certificats SSL des sites Web.
Un test grandeur nature pour savoir si votre site (et vous même) fait partie des « bons » ou des « mauvais élèves ».
Source
Lire aussi :
Des millions de routeurs vulnérables à une technique d'exploit vieille de 15 ans, une variation de l'attaque par DNS rebinding menaceLes rubriques (actu, forums, tutos) de Développez :
Sécurité Réseaux Systèmes Développement WebEt vous ?
Faites-vous partie des « bons élèves » ou avez-vous des surprises avec le test de Qualys ? Pensez-vous que le protocole SSL soit encore crédible ? 
