Chaque fois que vous voyez un petit cadenas dans la barre d'adresse de votre navigateur Internet, ainsi que lorsque vous utilisez des applications, e-mail et messagerie, vous comptez sur quelque chose appelé « sécurité de la couche de transport » ou TLS. C'est un protocole qui nous protège en ligne.

Derrière ce petit cadenas se cache un code cryptographique qui garantit la sécurité des données qui transitent entre vous et, par exemple, le site Web que vous consultez.

En réalité, TLS garantit la sécurité sur trois fronts :authentification, chiffrement et intégrité. Authentification, pour que vos données aillent là où vous pensez qu'elles vont; chiffrement, pour qu'il n'aille nulle part ailleurs; et l'intégrité, afin qu'il ne soit pas altéré en cours de route.

"C'est le protocole de sécurité le plus populaire sur Internet, sécuriser pratiquement toutes les transactions de commerce électronique, " Eric Rescorla, directeur de la technologie de l'entreprise technologique américaine Mozilla, dit Horizon par e-mail.

Au cours des deux décennies qui ont précédé 2018, il y a eu cinq révisions de TLS pour suivre le rythme de la sophistication des attaques en ligne. Après ça, de nombreux experts pensaient que la dernière incarnation, TLS1.2, était suffisamment sûr pour un avenir prévisible, jusqu'à l'arrivée de chercheurs tels que le Dr Karthikeyan Bhargavan et ses collègues de l'Institut national de recherche en sciences et technologies numériques (INRIA) à Paris.

Échafaud

Dans le cadre d'un projet appelé CRYSP, les chercheurs avaient travaillé sur des moyens d'améliorer la sécurité des applications logicielles. D'habitude, les développeurs de logiciels s'appuient sur TLS comme un constructeur s'appuie sur un échafaudage, en d'autres termes, ils tiennent sa sécurité pour acquise.

Pour améliorer la sécurité au niveau logiciel, cependant, Le Dr Bhargavan et ses collègues ont dû vérifier de manière approfondie que les hypothèses sous-jacentes à propos de TLS1.2 - qu'il n'avait pas de défauts sérieux - étaient justifiées.

« À un moment donné, nous avons réalisé qu'ils ne l'étaient pas, " il a dit.

Après avoir découvert quelques lignes de code instables, les chercheurs ont travaillé avec Microsoft Research et ont endossé le rôle de pirates informatiques, effectuer des attaques simulées sur le protocole pour tester l'étendue de sa vulnérabilité. Les attaques ont révélé qu'il était possible d'être un « homme au milieu » entre un internaute et un fournisseur de services, comme Google, et ainsi voler les données de cet utilisateur.

« Il faudrait que ce soit une séquence d'actions assez complexe, " a expliqué le Dr Bhargavan. " Typiquement, la personne au milieu devrait envoyer des messages étranges à chaque acteur pour les attirer dans une partie boguée du code."

"Si, comme la personne au milieu, j'ai réussi, Je pourrais potentiellement voler les informations de paiement de quelqu'un, " a-t-il poursuivi. " Ou je pourrais prétendre être Apple ou Google, et télécharger (insérer) des logiciels malveillants via une mise à jour logicielle pour accéder aux ordinateurs des personnes.

Menace sérieuse

Un tel hacker aurait besoin d'une grande expertise et d'une grande puissance de calcul, celui d'un organisme gouvernemental, par exemple, ainsi que l'accès à certaines infrastructures physiques proches des acteurs clés. Néanmoins, l'Internet Engineering Task Force (IETF), une organisation internationale promouvant les standards Internet, a jugé la menace suffisamment sérieuse pour justifier une nouvelle version du protocole cryptographique.

Le Dr Bhargavan souligne qu'il était loin d'être le seul informaticien à inciter à la révision. Quatre ou cinq autres groupes de recherche ont découvert des problèmes avec le protocole actuel, se poussant les uns les autres, il dit, dans une saine rivalité.

Toujours, il dit que son groupe a découvert certains des défauts les plus surprenants de TLS1.2, qui, selon lui, ont pu être les «derniers clous dans le cercueil» du protocole.

Son groupe faisait également partie d'une large collaboration au sein de la communauté Internet, supervisé par un groupe de travail de l'IETF, pour construire le plus sûr, et successeur à l'épreuve de l'homme du milieu qui est TLS 1.3, en utilisant des algorithmes et des techniques modernes. "Le Dr Bhargavan a été un acteur clé dans cet effort, " a déclaré Rescorla qui supervisait TLS à l'IETF au moment des travaux.

TLS 1.3 a été officiellement lancé en août 2018. Depuis lors, il a été implémenté par les principaux navigateurs Internet tels que Mozilla Firefox et Google Chrome.

Alors, à quel point les internautes sont-ils plus en sécurité ?

Erreur humaine

Il est vrai que pour la plupart des failles de sécurité en ligne, TLS n'est pas à blâmer. D'habitude, les données personnelles tombent entre de mauvaises mains à cause de bogues dans le logiciel – ce sur quoi le groupe du Dr Bhargavan travaillait au départ – ou d'une erreur humaine.

Mais le Dr Bhargavan pense qu'il est rassurant de savoir que le protocole sous-jacent est sécurisé. "Ce n'est pas tout, mais tant que vous cliquez sur ce cadenas, vous avez une certaine confiance en la sécurité - c'est la chose la plus fondamentale, " il a dit.

Outre, les internautes ne s'inquiètent pas seulement des hackers. Depuis 2013, et les fuites d'Edward Snowden, un ancien employé d'un sous-traitant de la National Security Agency des États-Unis, de nombreuses personnes s'inquiètent de la quantité de données personnelles accumulées par les services de renseignement de l'État et les grandes entreprises.

Conçu avec les révélations de Snowden à l'esprit, TLS 1.3 ferme la porte à certains types de cette surveillance omniprésente basée sur le réseau grâce à son cryptage des données utilisateur et des métadonnées. Il empêche également le décryptage rétrospectif, l'une des faiblesses de la version précédente.

Il y a eu une longue discussion au sein du groupe de travail de l'IETF pour savoir si la prévention de la surveillance était l'un des objectifs de TLS, dit le Dr Bhargavan. "Et la réponse fut finalement positive, " il a dit.

Le Dr Bhargavan revient maintenant sur la question de la sécurité des logiciels. Il pense que la majorité des vulnérabilités restantes peuvent être éliminées au stade de la conception.

Vérifié

Pour faire ça, lui et ses collègues construisent une bibliothèque, HACL*, de code cryptographique entièrement vérifié, sur lesquels d'autres développeurs peuvent s'appuyer lors de la création de nouveaux logiciels. Dans ce projet, connu sous le nom de CIRQUE, ils créent également un paradigme de référence facile à suivre qui indique aux développeurs comment assembler des logiciels sans introduire de problèmes de sécurité.

Le logiciel à haute assurance qui en résulte a déjà été adopté par les développeurs de Mozilla et Microsoft, entre autres. "Nous voulons que tout le monde suive ces techniques, " a déclaré le Dr Bhargavan.

Finalement, son but n'est pas de tout sécuriser en ligne, mais pour trouver les endroits les plus sûrs au sein de nos systèmes informatiques très complexes. "Je ne pense pas que nous arriverons jamais à un point où tout sera vérifié, " il a dit, "mais nous pouvons trouver le panier le plus sécurisé dans lequel nous pouvons mettre nos clés, nos mots de passe et nos données financières."