2. Introduction
Définition : SSL, c’est quoi ?
Origine SSL
Caractéristiques : Pourquoi SSL ?
Avantages & Inconvénients
Déroulement des échanges SSL
▪ La négociation SSL « Handshake»
▪ La communication SSL « Record »
Cas d’utilisations
Conclusion
2
3. Comment protéger sa vie privée sur le Web des
pirates ?
Comment sécuriser vos données (messagerie ,
payement en ligne …) qui transitent par le web ?
3
4. Protocoles généraux de sécurité des
échanges sur Internet :
▪ IPsec – Internet Protocol Security
protocole au niveau transport.
▪ SSL – Secure Sockets Layer
protocole au dessus de TCP (Entre TCP et l'application).
4
5. Protocole de sécurité.
Il crée un canal sécurisé entre deux machines
communiquant sur Internet ou un réseau
interne.
Simple pour l’utilisateur final
Le SSL est un protocole transparent qui nécessite peu
d'interaction de la part de l'utilisateur final.
Il agit comme couche
supplémentaire entre la couche
application (http,ftp..) et la couche
transport (tcp/ip)
5
6. SSL développé en 1995 par Netscape
En 2001 il a été racheté par l'IETF
▪ (Internet Engineering Task Force)
Depuis il s’appelle TLS
▪ (Transport Layer Security)
6
7. SSL est indépendant du protocole utilisé
▪ Il peut sécuriser différents protocoles comme:
http , ftp , Pop , Imap …
Protocole sécurisé Port Protocole non sécurisé Application
HTTPS 443 HTTP Web sécurisé
SSMTP 465 SMTP Transport du courrier
SNNTP 563 NNTP Transport des news Usernet
SSL-LDAP 636 LDAP Annuaires
IMAPS 993 IMAP4 Accès aux boites aux lettres
SPOP3 995 POP3 Accès aux boites aux lettres
FTPS 889/990 FTP Transfert de fichiers
TELNETS 992 TELNET Connexion interactive 7
8. Compatibilité avec les navigateurs
▪ La connection aux sites sécurisée avec SSL se fait
avec les différents navigateurs :
Internet explorer, Firefox, Opera…
8
9. Compatible avec TCP/IP
Protocole standardise
Etablissement rapide d’une session
De nombreuses applications utilisent SSL/TLS
Assure la confidentialité et empêche l’espionnage
ou l’interception de données.
Intégration facile avec les pare-feu
9
10. Authentification non obligatoire du client
Méthodes de sécurité peu sophistiquées pour
des transactions demandant haut niveau de
confidentialité
Modèle client-serveur insuffisant pour des
services de paiement d’un site marchand (une
banque)
10
11. Le protocole SSL est constitué de 4 sous protocoles :
11
18. • Découpe les données
en paquets,
• Compresse les
données,
• Chiffre les données,
• Les envoie.
Expéditeur
• déchiffre les données,
• vérifie la signature des
données,
• décompresse les
données,
• réassemble les paquets
de données.
Récepteur
18
19. Connexions et tout échange d'information
confidentielle
▪ Transactions bancaire en ligne.
Les applications et les messageries web
▪ Outlook Web Access, Exchange et Office
Communications Server.
Les connexions aux réseaux et aux traffics de
réseaux utilisant les VPNs SSL.
▪ Tels que VPN Access Servers, et les applications, telles que
Citrix Access Gateway.
19
20. SSL remplit les objectifs de
sécurité que l’on attend de lui, il
est capable d’assurer :
l’authentification mutuelle des
acteurs,
la confidentialité,
l’intégrité des données.
20
21. SSL est :
Sûr dans sa construction et ses
mécanismes,
Faible dans son authentification : ne
pouvant faire mieux qu’Internet, il n’offre
qu’une résistance passable aux attaques
actives.
21
22. Après plusieurs années de service
et d’usage généralisé :
SSL/TLS n’a pas subi d’attaque
dévastatrice,
Les vulnérabilités décelées concernent
principalement sa mise en œuvre et non
ses mécanismes.
22
De nos jours, de nombreuses formes de piratage émergent sur le web
à tel point que de nombreux internautes se plaignent de voir leur identité mais aussi leurs numéros de carte de crédit
voler par des personnes malhonnêtes ou par de grands arnaqueurs.
Alors … Questions ????
Pour faire face à tous ces problèmes, On utilise les protocoles de sécurité des échanges sur Internet , Par exemple :
-IPsec
-le protocole SSL se présente comme une solution assurant la sécurisation des connexions permettant de crypter les échanges d’informations ainsi que les transactions entre un site web et un internaute.
1- SSL est le protocole de sécurité le plus répandu qui :
Créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne.
2 ---------------
3 - Techniquement parlant, le SSL est un protocole transparent qui nécessite peu d'interaction de la part de l'utilisateur final.
Dans le cas des navigateurs, par exemple, les utilisateurs sont avertis de la présence de la sécurité SSL grâce à l'affichage d'un cadenas et du protocole « https » dans l'url, ou bien , par la barre d'adresse verte.
En pratique, pour accéder à un serveur qui utilise les services SSL, on ajoute un "s" lors de la spécification du protocole.
SANAAAAAE
Les sous-protocoles mis en œuvre :
Handshake sert à l’établissement de la connexion
Change Cipher Spec pour signaler la mise en œuvre de nouveaux mécanismes de sécuurité
Alert pour signaler la fin de la session ou des erreurs dans le déroulement de celle-ci
Application Data pour signaler les échanges sécurisés de données d’application
Client Hello permet à un client de demander l’établissement d’une connexion sécurisée avec le serveur
Ce msg contient : version de SSL ,identifient de session , des données aléatoires pour générées des clés afin de limiter les risques d’attaque.
Server Hello permet au serveur de répondre au Client Hello en précisant : version de SSL ,identifient de session , les données aléatoires , methodes de compression , la liste des méthodes de chiffrement (symétrique et asymétrique) et de signature que chacun connaît
Message Certificate : permet au serveur d’envoyer un certificat au client
Les certificats contient les données nécessaires à l’établissement des clès
Les certificat envoyées doivent être de type x509v3
Client Certificate : permet au client d’envoyer un certificat au client
Si le client ne contient pas de certificat ;il emet un msg ALERT protoocole de type <<Warning /no certificate >>
Chacun des deux partie client et serveur calcule de son coté le Master secret à partir des élément préalablement échangés.
Master secret sert à la génération des clés de cryptage symétrique et de signature MAC
Client Finished :Envoi d’un msg chiffré Finiched contenant un hachage et un code MAC couvrant tout les msg Handshake déjà échangés.
->Msg déchiffré par le serveur .si la tentative de déchiffrement échoue , le serveur rejettera le Handshake et mettra un terme à la connexion .
Server Finished : …
Le client procéde au déchiffrement et à l’authentification du msg Finished du serveur
->Si tout est OK , la phase Handshake est terminée .les échange de données peuvent commencer
Le niveau inférieur de SSL (ssl record) . C'est lui qui encapsule les message et assure confidentialité et intégrité. Selon ses étapes:
Le protocole Record Prend un message d'application à transmettre
ajoute un en-tête et transmet l'unité résultante dans un segment TCP
---------Récepteur-------------------
Les données reçues sont déchiffrées, vérifiées, décompressées etRéassemblés puis livrés à des utilisateurs de niveau supérieur.
ikraaaaaaaaaaaaam
En pratique, le SSL devrait être utilisé dans les cas suivants, pour sécuriser :
=========pour ne résumer que l’essentiel, l’application qui l’embarque et la politique de gestion des certificats sont d’une importance critique pour pouvoir atteindre un niveau de sécurité raisonnable.
C’est ainsi que l’on peut dire de SSL qu’il constitue un protocole sûr dans sa construction et ses mécanismes, mais faible dans son authentification : ne pouvant faire mieux qu’Internet, il n’offre qu’une résistance passable aux attaques actives.
On retiendra donc qu’après plusieurs années de service et un usage généralisé, SSL/TLS n’a pas subi d’attaque dévastatrice, et que les vulnérabilités décelées concernent principalement sa mise en œuvre (c’est-à-dire les applications) et non ses mécanismes.