La sécurité du SSL chancelle

2011 fut l'année où la sécurité du fameux système SSL a volé en éclat. La série noire a commencé en mars dernier, lorsqu'un pirate qui se fait appeler "Comodohacker", prouve qu'il a pu s'introduire dans les systèmes de l'autorité de certification Comodo et revendique la génération frauduleuse de neuf certificats.

Six mois après, "ComodoHacker" refait surface et s'attribue le piratage de l'autorité de certification DigiNotar.En lien avec les autorités ou les fournisseurs d'accès locaux, les faux certificats vont permettre au pirate de piéger 300 000 adresses IP d'Iraniens ayant voulu se connecter à leur Google mail.

Alors que ces attaques remettent en question les caractéristiques nécessaires pour pouvoir émettre des certificats, deux chercheurs annoncent presque au même moment réussir à casser le chiffrement SSL utilisé par de nombreux sites Web. Leur attaque est notamment rendue possible car, que ce soit côté navigateur, ou côté site Web, le protocole SSL est très rarement mis à jour... Aujourd'hui, le créateur du SSL lui-même a confié au JDN que le système actuel était désuet et les systèmes alternatifs ne cessent de gagner en crédibilité.