Pourquoi utiliser TLS 1.3 ? | Failles SSL et TLS

TLS 1.3 améliore les versions précédentes du protocole TLS (SSL) de plusieurs manières importantes.

Share facebook icon linkedin icon twitter icon email icon

TLS 1.3

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre pourquoi TLS 1.3 est plus rapide et plus sécurisé que TLS 1.2
  • En savoir plus sur les failles TLS

Quelle est la différence entre TLS 1.3 et TLS 1.2 ?

TLS 1.3 est la dernière version du protocole TLS. TLS, qui est utilisé par HTTPS et d'autres protocoles réseau pour le chiffrement, est la version moderne de SSL. Entre autres améliorations, TLS 1.3 a abandonné la prise en charge des fonctionnalités cryptographiques plus anciennes et moins sécurisées, et il a accéléré les mises en contact TLS.

Pour le contexte, l'Internet Engineering Task Force (IETF) a publié TLS 1.3 en août 2018. TLS 1.2, la version qu'il a remplacée, avait été normalisée une décennie auparavant, en 2008.

Quels sont les avantages d'utiliser la dernière version de TLS ?

En résumé, TLS 1.3 est plus rapide et plus sécurisé que TLS 1.2. L'un des changements qui rend TLS 1.3 plus rapide est une mise à jour du fonctionnement d'une mise en contact TLS : les mises en contact TLS dans TLS 1.3 ne nécessitent qu'un aller-retour (ou communication aller-retour) au lieu de deux, ce qui raccourcit le processus de quelques millisecondes. Et dans les cas où le client s'est connecté à un site Web auparavant, la mise en liaison TLS n'aura aucun aller-retour. Cela accélère les connexions HTTPS, réduit la latence et améliore l'expérience utilisateur globale.

Bon nombre des principales failles de TLS 1.2 étaient liées à des algorithmes cryptographiques plus anciens qui étaient toujours pris en charge. TLS 1.3 supprime la prise en charge de ces algorithmes cryptographiques vulnérables, ce qui le rend moins vulnérable aux cyberattaques.

Pourquoi existe-t-il différentes versions de TLS ?

TLS History

Les mises à jour font naturellement partie du développement logiciel. Les systèmes informatiques sont si complexes qu'il est inévitable qu'ils auront besoin de réparations ou d'améliorations pour être plus efficaces ou plus sûrs. N'importe quel logiciel aura des failles et défauts qu'un pirate peut exploiter.

Dans le cas de TLS, certaines parties du protocole reportées de ses débuts dans les années 1990 ont entraîné le maintien de plusieurs failles importantes dans TLS 1.2. De plus, ceux qui travaillent à l'élaboration du protocole identifient continuellement des lacunes qui peuvent être éliminées.

Comment les nouvelles versions de TLS sont-elles développées ?

L'IETF

est en charge du développement du TLS, de la codification des commentaires et des idées via un document appelé « Request For Comments » ou RFC. La plupart des protocoles sur Internet sont définis via des RFC. Tous les RFC sont numérotés ; TLS 1.3 est défini par la RFC 8446.

Une fois qu'une nouvelle version d'un protocole est publiée, c'est aux navigateurs et aux systèmes d'exploitation de les prendre en charge. Tous les systèmes d'exploitation et navigateurs devraient avoir de meilleures performances et sécurité. Cela est possible. Cependant, la prise en charge globale des protocoles mis à jour peut encore prendre un certain temps, en particulier parce que les entreprises privées et les consommateurs peuvent être lents à adopter les dernières versions des navigateurs, applications et systèmes d'exploitation.

Qu'est-ce qu'une faille ?

Une faille logicielle est une lacune dans la conception d'un programme informatique qu'un pirate peut exploiter pour effectuer une activité malveillante ou obtenir un accès illicite. Essentiellement, les failles sont inévitables dans les systèmes informatiques, tout comme il est pratiquement impossible de construire une banque invulnérable pour des braqueurs de banque hautement déterminés.

La communauté en charge de la sécurité répertorie et documente les failles au fur et à mesure de leur découverte et de leur description. Les failles connues reçoivent un numéro, comme CVE-2016-0701. (Le premier nombre est l'année de sa découverte.)

Quelles sont les principales failles SSL et TLS ?

Un certain nombre de fonctionnalités cryptographiques obsolètes ont entraîné des failles ou facilité des types spécifiques de cyberattaques. Voici une liste non exhaustive des faiblesses cryptographiques TLS 1.2 et des failles ou attaques qui leur sont associées.

De nombreuses fonctionnalités TLS 1.2 ont été supprimées en plus de celles répertoriées ci-dessus. L'idée est de rendre impossible pour quelqu'un d'activer les aspects vulnérables de TLS 1.2. C'est un peu comme lorsque le gouvernement a interdit la fabrication de voitures neuves sans ceinture de sécurité : l'objectif du règlement était d'éliminer progressivement les voitures sans ceinture de sécurité afin que tout le monde soit plus en sécurité. Pendant un certain temps, les conducteurs pouvaient toujours choisir d'utiliser des modèles de voitures plus anciens et être moins en sécurité, mais finalement ces voitures plus dangereuses ont disparu des routes.

Cloudflare prend-il en charge TLS 1.3 ?

Cloudflare donne la priorité à la prise en charge de toutes les versions les plus récentes et les plus sécurisées des protocoles réseau. Cloudflare a immédiatement proposé la prise en charge de TLS 1.3 ; en fait, Cloudflare a pris en charge TLS 1.3 en 2016, avant que l'IETF n'ait fini de le peaufiner.

Pour plus de détails techniques sur TLS 1.3 et en quoi il diffère de TLS 1.2, consultez cet aperçu détaillé de TLS 1.3 par Nick Sullivan, responsable de la cryptographie chez Cloudflare.