Une étude de l’écosystème TLS
Olivier Levillain, du Centre de formation à la sécurité des systèmes d’information (CFSSI), a soutenu sa thèse portant sur l’écosystème TLS
Thèse soutenue le 23 septembre 2016.
Jury :
Rapporteurs :
Karthikeyan Bhargavan - INRIA
Pascal Lafourcade - Université Clermont Auvergne
Examinateurs :
José Araujo - ANSSI
Emmanuel Chailloux - Université Pierre et Marie Curie
Aurélien Francillon - EURECOM
Kenny Paterson - Royal Holloway, Londres
Directeur de thèse :
Hervé Debar - Télécom SudParis
Co-encadrant :
Benjamin Morin – ANSSI
Résumé :
SSL/TLS est un protocole de sécurité datant de 1995 qui est devenu aujourd'hui une brique essentielle pour la sécurité des communications, depuis les sites de commerce en ligne ou les réseaux sociaux jusqu'aux réseaux privés virtuels (VPN), en passant par la protection des protocoles de messagerie électronique, et de nombreux autres protocoles.
Ces dernières années, SSL/TLS a été l'objet de toutes les attentions, menant à la découverte de nombreuses failles de sécurité et à des améliorations du protocole. Dans cette thèse, nous commençons par explorer l'écosystème SSL/TLS sur Internet en énumérant les serveurs HTTPS sur l'espace IPv4; nous proposons pour cela des méthodologies de collecte et d'analyse permettant d'obtenir des résultats reproductibles et comparables entre différentes campagnes de mesure.
Au-delà de ces observations, nous nous sommes intéressés en détail à deux aspects essentiels de la sécurité TLS: comment parer les attaques sur le Record Protocol, et comment implémenter des parsers sûrs et efficaces. Finalement, en nous basant sur les nombreuses failles d'implémentation qui ont affecté presque toutes les piles TLS ces dernières années, nous tirons quelques enseignements concernant les difficultés liées à l'écriture d'une bibliothèque TLS de confiance.