De la bonne utilisation des protocoles SSL/TLS
Par Mozinet, dimanche 27 mars 2005 à 09:00 :: Sécurité :: #597 ::
Le CERTA qui dépend du Premier ministre a publié une note sur la bonne utilisation des protocoles SSL/TLS. Protocoles initiés par Netscape et repris par l'IETF, SSL et TLS sont notamment utilisés par les transactions sécurisées du commerce électronique. Dans cette courte recommandation, ont peut lire à propos des limites des protocoles SSL/TLS :
Les protocoles SSL et TLS servent à sécuriser les échanges d'informations entre un client et un serveur et à obtenir un authentification mutuelle.
Une session SSL/TLS correctement établie va donc protéger les échanges entre les parties, mais ne sera en aucun une garantie de sécurité pour les systèmes client ou serveur.
Ainsi, si un pirate installe par exemple un enregistreur de frappe (ou keylogger) sur le poste client, il sera en mesure de récupérer les mots de passe ou toute information confidentielle, même si celle-ci a été émise lors d'une session SSL/TLS.
De même, un serveur qui utilise des sessions SSL/TLS pour récupérer des données sensibles peut être compromis et les données recueillies pourront être volées.
Il est donc primordial d'utiliser les protocoles SSL/TLS en prenant certaines précautions, et ne pas leur prêter une trop grande garantie de sécurité sur l'ensemble de la chaîne d'information.
A noter aussi la publication d'une note d'information du CERTA sur les mots de passe qu'on lira et dont on répandra les conseils avec profit.
Bizarrement, les « œ » sont (ou devraient) être affichés par des images au milieu du texte…
- CERTA
- La bonne utilisation des protocoles SSL/TLS, 1er mars 2005
- Les mots de passe, 25 mars 2005
- OpenSSL, Related, SSL/TLS
Ce billet a été modifié en dernier le 27 March 2005 à 09:03:27.
Commentaires
1. Le dimanche 27 mars 2005 à 09:57, par Benoit
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.