Précisions protocole SSL

Précisions protocole SSL - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 02-05-2010 à 11:37:18    

Bonjour à tous,
 
Dans le cadre de mes études informatique, je dois réaliser un exposé sur le protocole SSL.
J'ai donc un plan à respecter dans lequel je dois traiter des limites et de la concurrence lié à ce protocole
 
Concernant les limites, j'avoue de pas avoir dénicher grand chose.  
 
La principale limite du protocole SSL que j'ai pu trouvé est que ce protocole ne sécurise QUE les échanges d'informations et de données entre le poste client et le poste serveur mais ne garantie en aucun cas une sécurité pour les systèmes client ou serveur en eux même.
 
Ainsi, si un pirate installe par exemple un enregistreur de frappe (keylogger) sur le poste client, il sera en mesure de récupérer les mots de passe ou toute information confidentielle, même si celle-ci a été émise lors d'une session SSL.
 
Pour les plus experts d'entre vous, connaissez vous d'autres limites liées au protocole SSL  mis à part celui que j'ai déjà cité ci dessus ?
 
Je dois ensuite traiter de la concurrence de ce protocole et des nouveaux moyens qui peuvent bien le remplacer et combler ses faiblesses. J'ai entendu parlé du protocole SET mais je n'ai pas bien compris ce qu'il apportait de plus par rapport au protocole SSL et s'il était déjà en place sur certain serveur.
 
J'aimerais aussi avoir une précision sur le protocole SSH car je n'ai pas compris quelle était la différence entre SSL et SSH et si SSH était un concurrent à SSL.
 
 
Merci à tous pour vos précisions et passez un bon dimanche  :)  
 
Michaël

Reply

Marsh Posté le 02-05-2010 à 11:37:18   

Reply

Marsh Posté le 02-05-2010 à 20:32:38    

Salut,
Le SSL utilise un certificat pour authentifier les parties. Pour être valide, ce certificat doit être approuvé par une autorité de certification. Le système repose donc sur une "confiance" en les autorités. Le problème est que ces organismes ne sont pas forcément dignes de confiance. Sébastien Sauvage décrit assez bien le problème, avec quelques liens si tu veux approfondir.
Ce n'est certainement pas le seul problème de SSL mais c'en est un.
 
Pour la différence avec SSH : SSH (Secure SHell) utilise SSL. C'est un peu un telnet chiffré avec SSL.


---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Reply

Marsh Posté le 03-05-2010 à 09:22:19    

Citation :

Ainsi, si un pirate installe par exemple un enregistreur de frappe (keylogger) sur le poste client, il sera en mesure de récupérer les mots de passe ou toute information confidentielle, même si celle-ci a été émise lors d'une session SSL.


Ce n'est pas une limite de SSL, tu auras le même soucis avec tous les VPN existant. Le but d'un VPN chiffré n'est pas de sécuriser un poste, mais les communications.

 

SSL s'appelle maintenant TLS. Tu trouveras peut être plus de choses sous ce nom.


Message édité par Arcan_- le 03-05-2010 à 09:22:51
Reply

Marsh Posté le 03-05-2010 à 10:36:25    

Je pense à autre chose : tu peux un échange chiffré avec SSL (ou TLS comme l'a précisé Arcan) avec des algorithmes assez faibles. Je n'ai pas d'exemple concret sous la main, mais une session SSL/TLS chiffrée avec un algo facilement crackable sera peu sécurisée.
 
Pour en revenir à mon sujet précédent (la confiance induite dans les certificat), peu de gens vérifient que le certificat est correct quand ils vont sur un site. Même quand leur navigateur affiche une alerte.


---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed