SlideShare une entreprise Scribd logo

#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence Tury

NetSecure Day
NetSecure Day

Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication. La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.

Technologie
1  sur  25
Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS Maxence Tury maxence.tury@ssi.gouv.fr Agence nationale de la sécurité des systèmes d’information 15 décembre 2016 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 1/20
Détail de la session TLS
Négociation TLS Client Serveur ClientHello ServerHello Certificate ServerKeyExchange ServerHelloDone ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished Données applicatives Données applicatives ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 3/20
Négociation TLS Client Serveur ClientHello ServerHello Certificate ServerKeyExchange ServerHelloDone ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished Données applicatives Données applicatives ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 3/20
Négociation TLS Client Serveur ClientHello ServerHello Certificate ServerKeyExchange ServerHelloDone ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished Données applicatives Données applicatives ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 3/20
Négociation TLS Client Serveur ClientHello ServerHello Certificate ServerKeyExchange ServerHelloDone ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished Données applicatives Données applicatives authentification du serveur, établissement des secrets échanges intègres et confidentiels ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 3/20
Exemples de paramètres de session TLS Version TLS 1.2 TLS 1.1, 1.0 SSLv3, SSLv2 Échange de clés PFS (DHE, ECDHE) sans PFS anonyme Chiffrement AES 3DES RC4 Motif d’intégrité avec SHA-2 avec SHA-1 avec MD5 Signature de certificat avec SHA-2 avec SHA-1 avec MD5 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 4/20
Le guide TLS de l’ANSSI Recommandations de sécurité relatives à TLS • Présentation du protocole • Explications synthétiques • Liste de recommandations https://www.ssi.gouv.fr/nt-tls/ ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 5/20
Mesures HTTPS
L’observatoire de la résilience de l’Internet français Objectifs de l’observatoire • Étudier la résilience de l’Internet via plusieurs indicateurs • Favoriser les échanges techniques entre acteurs de l’Internet • Publier des résultats anonymisés • Publier des recommandations et diffuser des bonnes pratiques Trois protocoles étudiés • BGP • DNS • TLS https://www.ssi.gouv.fr/observatoire/ ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 7/20
Définition du périmètre 1. Extraction de la zone .fr 2. Résolution DNS 3. Suppression des IP redondantes, puis randomisation 4. Test d’ouverture du port 443 5. Envoi des différents ClientHello ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 8/20
Quantification du périmètre 12-2013 02-2014 07-2015 02-2016 05-2016 50K 100K 150K 200K 250K Date des mesures Nombred’IPsvisitées port 443 ouvert port 443 fermé ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 9/20
Suivi des bonnes pratiques
Prise en charge de SSLv2 La version SSLv2 est fortement déconseillée en toutes cir- constances. De plus, il faut privilégier l’usage de composants logiciels qui ne prennent pas en charge cette version. R4 Ne pas utiliser SSLv2 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 11/20
Réponses au stimulus SSLv2 SSLv2 H andshake T LS A lert N éant Autres 0 % 20 % 40 % 60 % 80 % 22 2 75 1 18 3 78 1 8 1 90 1 Proportiondeserveurs 2014 2015 2016 La version SSLv2 est en cours de disparition mais persiste sur de nombreux déploiements existants. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 12/20
Prise en charge de la confidentialité persistante La propriété de PFS doit être assurée. Il faut pour cela em- ployer une suite cryptographique reposant sur un échange Diffie–Hellman éphémère (ECDHE ou, à défaut, DHE). R6 Échanger les clés en assurant toujours la PFS Les échanges Diffie–Hellman éphémères doivent être pris en charge et privilégiés. Les échanges basés sur le chiffrement d’un secret à l’aide de la clé du serveur, qui n’assurent pas la confidentialité persistante, sont tolérés. R6– Échanger les clés sans toujours assurer la PFS ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 13/20
Réponses au stimulus PFS Prise en charge de la PFS 0 % 20 % 40 % 60 % 80 % 50 78 80 Proportiondeserveurs 2014 2015 2016 La propriété de PFS est souvent proposée par les serveurs mais sa progression stagne. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 14/20
Signatures des certificats La fonction de hachage utilisée pour la signature du certificat doit faire partie de la famille SHA-2. R21 Présenter un certificat signé avec SHA-2 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 15/20
Signatures des certificats SHA-2 SHA-1 MD5 0 % 20 % 40 % 60 % 80 % 100 % 3 96 1 55 44 1 88 12 0 Proportiondeserveurs 2014 2015 2016 Les signatures exploitant SHA-1 sont bien en cours de disparition. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 16/20
Signatures des nouveaux certificats SHA-2 SHA-1 MD5 0 % 20 % 40 % 60 % 80 % 100 % 99 1 0 Proportiondeserveurs émis en 2016 Presque tous les nouveaux certificats sont bien signés avec SHA-2. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 17/20
Perspectives Pour l’observatoire • Automatisation des mesures • Évaluation du nombre de domaines hébergés par IP • si 100+ domaines : sélection d’un échantillon aléatoire • Examen des journaux de Certificate Transparency Pour le guide de recommandations • Implémentation minimale d’un serveur TLS renforcé ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 18/20
Conclusion • Les bonnes pratiques TLS sont globalement suivies. • Prise en charge de TLS 1.2, de la PFS, de SHA-2 • Les infrastructures existantes sont sources d’inertie. • Persistance de SSLv3, et dans une moindre mesure de SSLv2 En 2016, la sensibilisation à l’usage de HTTPS est avancée, mais les bonnes pratiques doivent être mieux connues et suivies. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 19/20
Questions ? https://www.ssi.gouv.fr/nt-tls/ https://www.ssi.gouv.fr/observatoire/ ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 20/20
SSLv3 T LS H andshake T LS A lert Autres 0 % 20 % 40 % 60 % 80 % 25 69 6 Proportiondeserveurs octobre 2016 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 1/2
Mutualisation ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 2/2

Recommandé

SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedThomas Moegli
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...NetSecure Day
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
 
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
 
#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaireNetSecure Day
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
 
#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & LumièresNetSecure Day
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 

Recommandé

SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedThomas Moegli
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...NetSecure Day
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
 
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
 
#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaireNetSecure Day
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
 
#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & LumièresNetSecure Day
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
BSidesQuebec2013-ssl
BSidesQuebec2013-sslBSidesQuebec2013-ssl
BSidesQuebec2013-sslBSidesQuebec2013
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLSThomas Moegli
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Afnic
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Vpn
VpnVpn
Vpnkwabo
 
Les défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPSLes défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPSSemrush
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSECSylvain Maret
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHFabwice Bend'j
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Https,ssl,ssh
Https,ssl,sshHttps,ssl,ssh
Https,ssl,sshMoncef Essid
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSLAnouar Loukili
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssldihiaselma
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSAfnic
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Yassine Brahmi
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
ASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret
ASFWS 2012 WS Security - REST vs SOAP par Sylvain MaretASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret
ASFWS 2012 WS Security - REST vs SOAP par Sylvain MaretCyber Security Alliance
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
 

Contenu connexe

Similaire à #NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence Tury

Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Afnic
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Les défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPSLes défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPSSemrush
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHFabwice Bend'j
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssldihiaselma
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSAfnic
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Yassine Brahmi
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
ASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret
ASFWS 2012 WS Security - REST vs SOAP par Sylvain MaretASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret
ASFWS 2012 WS Security - REST vs SOAP par Sylvain MaretCyber Security Alliance
 

Similaire à #NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence Tury (20)

BSidesQuebec2013-ssl
BSidesQuebec2013-sslBSidesQuebec2013-ssl
BSidesQuebec2013-ssl
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
 
Vpn
VpnVpn
Vpn
 
Les défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPSLes défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPS
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Https,ssl,ssh
Https,ssl,sshHttps,ssl,ssh
Https,ssl,ssh
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSL
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNS
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »Sécurité d’une plateforme VoIP Open Source « Elastix »
Sécurité d’une plateforme VoIP Open Source « Elastix »
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
ASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret
ASFWS 2012 WS Security - REST vs SOAP par Sylvain MaretASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret
ASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret
 

Plus de NetSecure Day

#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark webNetSecure Day
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêterNetSecure Day
 
#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voixNetSecure Day
 
#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnelsNetSecure Day
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objetsNetSecure Day
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacentersNetSecure Day
 
#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des donnéesNetSecure Day
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big DataNetSecure Day
 
#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'InternetNetSecure Day
 
#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événementNetSecure Day
 

Plus de NetSecure Day (16)

#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter
 
#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix
 
#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
 
#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data
 
#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet
 
#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement
 

#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence Tury

  • 1. Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS Maxence Tury maxence.tury@ssi.gouv.fr Agence nationale de la sécurité des systèmes d’information 15 décembre 2016 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 1/20
  • 2. Détail de la session TLS
  • 6. Négociation TLS Client Serveur ClientHello ServerHello Certificate ServerKeyExchange ServerHelloDone ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished Données applicatives Données applicatives authentification du serveur, établissement des secrets échanges intègres et confidentiels ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 3/20
  • 7. Exemples de paramètres de session TLS Version TLS 1.2 TLS 1.1, 1.0 SSLv3, SSLv2 Échange de clés PFS (DHE, ECDHE) sans PFS anonyme Chiffrement AES 3DES RC4 Motif d’intégrité avec SHA-2 avec SHA-1 avec MD5 Signature de certificat avec SHA-2 avec SHA-1 avec MD5 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 4/20
  • 8. Le guide TLS de l’ANSSI Recommandations de sécurité relatives à TLS • Présentation du protocole • Explications synthétiques • Liste de recommandations https://www.ssi.gouv.fr/nt-tls/ ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 5/20
  • 10. L’observatoire de la résilience de l’Internet français Objectifs de l’observatoire • Étudier la résilience de l’Internet via plusieurs indicateurs • Favoriser les échanges techniques entre acteurs de l’Internet • Publier des résultats anonymisés • Publier des recommandations et diffuser des bonnes pratiques Trois protocoles étudiés • BGP • DNS • TLS https://www.ssi.gouv.fr/observatoire/ ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 7/20
  • 11. Définition du périmètre 1. Extraction de la zone .fr 2. Résolution DNS 3. Suppression des IP redondantes, puis randomisation 4. Test d’ouverture du port 443 5. Envoi des différents ClientHello ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 8/20
  • 12. Quantification du périmètre 12-2013 02-2014 07-2015 02-2016 05-2016 50K 100K 150K 200K 250K Date des mesures Nombred’IPsvisitées port 443 ouvert port 443 fermé ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 9/20
  • 13. Suivi des bonnes pratiques
  • 14. Prise en charge de SSLv2 La version SSLv2 est fortement déconseillée en toutes cir- constances. De plus, il faut privilégier l’usage de composants logiciels qui ne prennent pas en charge cette version. R4 Ne pas utiliser SSLv2 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 11/20
  • 15. Réponses au stimulus SSLv2 SSLv2 H andshake T LS A lert N éant Autres 0 % 20 % 40 % 60 % 80 % 22 2 75 1 18 3 78 1 8 1 90 1 Proportiondeserveurs 2014 2015 2016 La version SSLv2 est en cours de disparition mais persiste sur de nombreux déploiements existants. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 12/20
  • 16. Prise en charge de la confidentialité persistante La propriété de PFS doit être assurée. Il faut pour cela em- ployer une suite cryptographique reposant sur un échange Diffie–Hellman éphémère (ECDHE ou, à défaut, DHE). R6 Échanger les clés en assurant toujours la PFS Les échanges Diffie–Hellman éphémères doivent être pris en charge et privilégiés. Les échanges basés sur le chiffrement d’un secret à l’aide de la clé du serveur, qui n’assurent pas la confidentialité persistante, sont tolérés. R6– Échanger les clés sans toujours assurer la PFS ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 13/20
  • 17. Réponses au stimulus PFS Prise en charge de la PFS 0 % 20 % 40 % 60 % 80 % 50 78 80 Proportiondeserveurs 2014 2015 2016 La propriété de PFS est souvent proposée par les serveurs mais sa progression stagne. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 14/20
  • 18. Signatures des certificats La fonction de hachage utilisée pour la signature du certificat doit faire partie de la famille SHA-2. R21 Présenter un certificat signé avec SHA-2 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 15/20
  • 19. Signatures des certificats SHA-2 SHA-1 MD5 0 % 20 % 40 % 60 % 80 % 100 % 3 96 1 55 44 1 88 12 0 Proportiondeserveurs 2014 2015 2016 Les signatures exploitant SHA-1 sont bien en cours de disparition. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 16/20
  • 20. Signatures des nouveaux certificats SHA-2 SHA-1 MD5 0 % 20 % 40 % 60 % 80 % 100 % 99 1 0 Proportiondeserveurs émis en 2016 Presque tous les nouveaux certificats sont bien signés avec SHA-2. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 17/20
  • 21. Perspectives Pour l’observatoire • Automatisation des mesures • Évaluation du nombre de domaines hébergés par IP • si 100+ domaines : sélection d’un échantillon aléatoire • Examen des journaux de Certificate Transparency Pour le guide de recommandations • Implémentation minimale d’un serveur TLS renforcé ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 18/20
  • 22. Conclusion • Les bonnes pratiques TLS sont globalement suivies. • Prise en charge de TLS 1.2, de la PFS, de SHA-2 • Les infrastructures existantes sont sources d’inertie. • Persistance de SSLv3, et dans une moindre mesure de SSLv2 En 2016, la sensibilisation à l’usage de HTTPS est avancée, mais les bonnes pratiques doivent être mieux connues et suivies. ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 19/20
  • 23. Questions ? https://www.ssi.gouv.fr/nt-tls/ https://www.ssi.gouv.fr/observatoire/ ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 20/20
  • 24. SSLv3 T LS H andshake T LS A lert Autres 0 % 20 % 40 % 60 % 80 % 25 69 6 Proportiondeserveurs octobre 2016 ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 1/2
  • 25. Mutualisation ANSSI - Le suivi des bonnes pratiques TLS dans l’écosystème HTTPS 2/2