Pourquoi utiliser TLS 1.3 ? | Vulnérabilités du SSL et du TLS

TLS 1.3 améliore les versions précédentes du protocole TLS (SSL) de plusieurs manières importantes.

Share facebook icon linkedin icon twitter icon email icon

TLS 1.3

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre pourquoi TLS 1.3 est plus rapide et plus sécurisé que TLS 1.2
  • En savoir plus sur les vulnérabilités du TLS

Quelle est la différence entre TLS 1.3 et TLS 1.2 ?

TLS 1.3 est la dernière version du protocole TLS. TLS qui est utilisé par HTTPS et d'autres protocoles réseau pour le chiffrement. Il constitue la version moderne de SSL. Entre autres améliorations, TLS 1.3 a abandonné la prise en charge des fonctionnalités de chiffrement plus anciennes et moins sécurisées, et a accéléré les handshakes TLS.

Il faut préciser que l'Internet Engineering Task Force (IETF) a publié TLS 1.3 en août 2018. TLS 1.2, la version qu'il a remplacée, avait été normalisée une décennie auparavant, en 2008.

Quels sont les avantages liés à l'utilisation de la dernière version de TLS ?

En résumé, TLS 1.3 est plus rapide et plus sécurisé que TLS 1.2. L'un des changements qui rend TLS 1.3 plus rapide est une mise à jour du fonctionnement d'un handshake TLS : les handshakes TLS dans TLS 1.3 ne nécessitent qu'un aller-retour (ou communication aller-retour) au lieu de deux, ce qui raccourcit le processus de quelques millisecondes. Et dans le cas où le client s'est connecté à un site web auparavant, le handshake TLS n'aura aucun aller-retour. Cela accélère les connexions HTTPS, réduit la latence et améliore l'expérience utilisateur globale.

Bon nombre des principales vulnérabilités de TLS 1.2 étaient liées à des algorithmes cryptographiques plus anciens qui étaient toujours pris en charge. TLS 1.3 supprime la prise en charge de ces algorithmes cryptographiques vulnérables, ce qui le rend moins vulnérable aux cyberattaques.

Pourquoi existe-t-il différentes versions de TLS ?

TLS History

Les mises à jour font naturellement partie du développement logiciel. Les systèmes informatiques sont si complexes que les réparations ou les améliorations sont inévitables pour être plus efficaces ou plus sûrs. N'importe quel logiciel connaîtra des vulnérabilités qu'un pirate pourra exploiter.

Dans le cas de TLS, certaines parties du protocole reportées de ses débuts dans les années 1990 ont entraîné le maintien de plusieurs vulnérabilités importantes dans TLS 1.2. De plus, ceux qui travaillent à l'élaboration du protocole identifient continuellement des lacunes qui peuvent être éliminées.

Comment les nouvelles versions de TLS sont-elles développées ?

L'IETF est en charge du développement du TLS, de la codification des commentaires et des idées via un document appelé « Request For Comments » ou RFC. La plupart des protocoles sur Internet sont définis via des RFC. Tous les RFC sont numérotés. TLS 1.3 est défini par la RFC 8446.

Une fois qu'une nouvelle version d'un protocole est publiée, c'est aux navigateurs et aux systèmes d'exploitation de les prendre en charge. Tous les systèmes d'exploitation et les navigateurs devraient avoir de meilleures performances et sécurité. Cela est possible. Cependant, la prise en charge globale des protocoles mis à jour peut encore prendre un certain temps, en particulier parce que les entreprises privées et les consommateurs peuvent être lents à adopter les dernières versions des navigateurs, applications et systèmes d'exploitation.

Qu'est-ce qu'une vulnérabilité ?

Une vulnérabilité logicielle, ou faille, est un défaut dans la conception d'un programme informatique qu'un pirate peut exploiter pour effectuer une activité malveillante ou obtenir un accès illicite. Essentiellement, les vulnérabilités sont inévitables dans les systèmes informatiques, tout comme il est pratiquement impossible de construire une banque inviolable face à des braqueurs de banque hautement déterminés.

La communauté en charge de la sécurité répertorie et documente les vulnérabilités au fur et à mesure de leur découverte et de leur description. Les vulnérabilité connues reçoivent un numéro, comme CVE-2016-0701. (Le premier nombre est l'année de sa découverte).

Quelles sont les principales vulnérabilités SSL et TLS ?

Un certain nombre de fonctionnalités cryptographiques obsolètes ont entraîné des vulnérabilités ou facilité des types spécifiques de cyberattaques. Voici une liste non exhaustive des faiblesses cryptographiques TLS 1.2 et des vulnérabilités ou attaques qui leur sont associées.

De nombreuses fonctionnalités TLS 1.2 ont été supprimées en plus de celles répertoriées ci-dessus. L'idée est de rendre impossible pour quelqu'un d'activer les aspects vulnérables de TLS 1.2. C'est un peu comme lorsque le gouvernement a interdit la fabrication de voitures neuves sans ceinture de sécurité : l'objectif du règlement était d'éliminer progressivement les voitures sans ceinture de sécurité afin que tout le monde soit plus en sécurité. Pendant un certain temps, les conducteurs pouvaient toujours choisir d'utiliser des modèles de voitures plus anciens et être moins en sécurité, mais finalement ces voitures plus dangereuses ont disparu des routes.

Cloudflare prend-il en charge TLS 1.3 ?

Cloudflare donne la priorité à la prise en charge de toutes les versions les plus récentes et les plus sécurisées des protocoles réseau. Cloudflare a immédiatement proposé la prise en charge de TLS 1.3. En fait, Cloudflare a pris en charge TLS 1.3 en 2016, avant que l'IETF n'ait fini de le mettre au point.

Pour plus de détails techniques sur TLS 1.3 et en quoi il diffère de TLS 1.2, consultez cet aperçu détaillé de TLS 1.3 par Nick Sullivan, responsable de la cryptographie chez Cloudflare.