Le TLS (Transport Layer Security) est un protocole de sécurité cryptographique qui assure …
la confidentialité, l’intégrité et l’authenticité des communications sur Internet.
Il est couramment utilisé dans les navigateurs, les emails, les messageries instantanées, et plus encore.
TLS est la version améliorée de SSL (Secure Sockets Layer), …
conçu pour sécuriser les communications entre deux entités, comme un client et un serveur.
Les objectifs principaux de TLS sont :
Garantir que les données échangées sont illisibles par des tiers grâce au chiffrement.
Vérifier que les parties impliquées dans la communication sont celles qu’elles prétendent être.
S’assurer que les données transmises n’ont pas été modifiées en transit.
Le "TLS Handshake" initialise une session sécurisée :
Le client et le serveur choisissent un algorithme de chiffrement supporté par les deux (par exemple, AES-256, ChaCha20).
Le serveur envoie son certificat (contenant sa clé publique) au client.
Le client vérifie ce certificat à l’aide d’une autorité de certification (CA).
Le client et le serveur utilisent la cryptographie asymétrique (RSA, Diffie-Hellman) pour partager une clé de session symétrique.
Cette clé sera utilisée pour chiffrer les données de la session.
Une fois le Handshake terminé, les données sont chiffrées avec la clé de session.
Confidentialité grâce au chiffrement symétrique.
Intégrité grâce à des algorithmes de hachage (HMAC, SHA-256).
Première version adoptée pour remplacer SSL.
Désormais obsolète et vulnérable.
Introduit une meilleure protection contre certains types d’attaques, mais aussi considéré obsolète aujourd’hui.
Ajoute des algorithmes de chiffrement modernes (AES-GCM).
$ Permet l’utilisation de SHA-256 et d’autres hachages sécurisés.
Version actuelle.
Suppression des algorithmes obsolètes comme RSA et MD5.
Réduction de la latence en simplifiant le Handshake.
Renforce la sécurité grâce à des suites de chiffrement modernes.
Chiffrement symétrique : AES, ChaCha20.
Cryptographie asymétrique : RSA, Diffie-Hellman, Elliptic Curve Cryptography (ECC).
Hachage : SHA-256, SHA-384 (pour l’intégrité des messages).
Signature numérique : ECDSA, RSA pour authentifier les certificats.
TLS repose sur un système de certificats pour l’authentification :
Émet les certificats numériques (par exemple, Let’s Encrypt).
Contient des informations sur le serveur, sa clé publique, et l’autorité qui l’a signé.
Non vérifiés par une CA, généralement utilisés pour des tests.
Un attaquant intercepte les communications. La vérification des certificats prévient ce type d’attaque.
Force une connexion vers une version TLS moins sécurisée (comme TLS 1.0).
Exploitations spécifiques des failles de TLS/SSL.
Toujours utiliser TLS 1.2 ou 1.3.
Configurer correctement les suites de chiffrement.
Renouveler les certificats avant leur expiration.
Implémenter HSTS (HTTP Strict Transport Security) pour forcer l’utilisation de HTTPS.
Bien que souvent utilisés de manière interchangeable, SSL est l’ancien protocole (jusqu’à SSL 3.0) qui a été remplacé par TLS :
TLS 1.0 est basé sur SSL 3.0 mais avec des améliorations de sécurité. Les versions de SSL sont obsolètes et vulnérables.
HTTPS : Sécurisation des sites web.
Email : Chiffrement des protocoles SMTP, IMAP, et POP3.
VPN : Protection des connexions via des protocoles comme OpenVPN ou WireGuard.
Messageries : Sécurisation des échanges via TLS (ex. Signal, WhatsApp).
Les navigateurs modernes affichent un cadenas pour indiquer une connexion HTTPS sécurisée par TLS.
Les entreprises utilisent des certificats wildcard pour sécuriser plusieurs sous-domaines.
TLS est omniprésent dans les API pour sécuriser les appels.
Protocole éprouvé, fiable, et standardisé.
Protection contre un large éventail d’attaques.
Compatible avec une multitude d’applications.
Une mauvaise configuration peut exposer des failles.
La confiance repose sur les autorités de certification, qui peuvent être compromises.
La surcharge de chiffrement peut augmenter légèrement la latence.