SSL/TLS, 3 ans plus tardOlivier Levillain

Depuis quelques années, l'actualité autour de SSL/TLS s'est accélérée. De nombreuses failles ont été mises au jour, qu'il s'agisse de faiblesses conceptuelles concernant la phase de négociation, de vulnérabilités cryptographiques affectant la protection des flux ou d'erreurs d'implémentation.

Un premier état des lieux avait été dressé en 2012. Cet article est composé de trois parties: la première se veut être une actualisation de la présentation de 2012; la seconde décrit les nombreuses failles d'implémentation qui ont touché toutes les piles SSL/TLS majeures en 2014; enfin, la dernière partie présente des pistes pour l'avenir du protocole, avec des éléments d'analyse de TLSv1.3, en cours de définition à l'IETF.