TLS est l'abréviation de Transport Layer Security (sécurité de la couche transport). IT est un protocole cryptographique utilisé pour sécuriser les données envoyées sur un réseau, comme le trafic internet. Les cas d'utilisation généraux comprennent la sécurisation du courrier électronique, de la voix sur IP, des transactions en ligne, des transferts de fichiers et des messages instantanés. TLS est conçu pour empêcher l'écoute ou la falsification des données. Il protège l'intégrité des communications privées et des informations sensibles, notamment les habitudes de navigation, la correspondance personnelle, le chat en ligne, les conférences téléphoniques, les mots de passe, les numéros de compte et autres données financières, ainsi que les numéros de sécurité sociale.
TLS sécurise la transmission et la livraison des données. IT ne sécurise pas les données aux points d'extrémité et ne les crypte pas. Il s'agit d'un protocole de sécurité pour les connexions HTTPS et non pour les connexions HTTP non sécurisées.
Les alertes personnalisées et la visualisation des données vous permettent d'identifier et de prévenir rapidement les problèmes de santé et de performance du réseau.
TLS est le successeur du protocole Secure Sockets Layer (SSL). Netscape a développé SSL en 1994 pour sécuriser son navigateur, Netscape Navigator. La dernière version de SSL était SSL 3.0. La première version de TLS, publiée en 1999, est basée sur SSL 3.0.
Les termes SSL et TLS sont souvent utilisés de manière interchangeable. En effet, la première version de TLS, 1.0, a été initialement développée en tant que version 3.1 de SSL. Cela signifie que, sauf indication contraire, ce qui est commercialisé aujourd'hui comme un certificat SSL utilise généralement le protocole TLS. Le terme SSL est toujours utilisé parce qu'il est plus familier. Le terme SSL/TLS est souvent utilisé pour décrire le protocole.
La dernière version de TLS est TLS 1.3, publiée en 2018 par l'Internet Engineering Task Force (IETF). L'IETF est une organisation internationale de normalisation chargée à l'origine d'orchestrer le développement du nouveau protocole.
SSL 3.0 a été officiellement mis au rancart en 2015. Cependant, TLS offre une compatibilité ascendante pour certains appareils plus anciens utilisant SSL.
Apple, Microsoft et Google cesseront de prendre en charge les versions TLS 1.0 et TLS 1.1 en 2020. Cela s'explique en partie par le fait que ces versions de TLS utilisent des technologies obsolètes, notamment des algorithmes tels que SHA-1 et MD5. Dans un premier temps, les sites web utilisant d'anciennes versions de TLS afficheront un message d'erreur. À terme, tous les accès aux sites web utilisant des versions TLS obsolètes seront bloqués.
La plupart des applications web actuelles utilisent TLS 1.2. L'adoption de TLS 1.3 devrait prendre du temps. Google estime que moins d'un pour cent des sites web utilisent TLS 1.0 ou 1.1. Il existe des solutions de contournement, par exemple l'extension LS_FALLBACK_SCSV, pour les applications anciennes qui ne sont pas compatibles avec la technologie TLS.
TLS comporte trois fonctionnalités principales et une fonctionnalité de facto :
Les notifications en temps réel permettent un dépannage plus rapide, de sorte que vous puissiez agir avant que des problèmes plus graves ne surviennent.
TLS est utilisé pour sécuriser les protocoles de la couche application comme FTP, HTTP et SMTP, par exemple. Ces protocoles fournissent la plupart des fonctions utilisées pour communiquer sur l'internet, comme l'envoi de courriels, le chat ou le téléchargement de données.
TLS permet l'authentification des identités numériques. Les cas d'utilisation typiques en entreprise comprennent l'authentification unique (SSO), la vérification des appareils dans un réseau IoT, les documents signés numériquement, le chiffrement des courriels pour protéger les informations commerciales sensibles et l'authentification de l'accès au réseau.
Le chiffrement TLS permet de protéger les applications internet contre les cyberattaques et les violations de données. Le protocole est la norme de connexion sécurisée pour la plupart des navigateurs populaires.
Google Chrome a récemment commencé à avertir les utilisateurs accédant à des pages HTTP que ces pages ne sont pas sécurisées. Les entreprises craignent que cela n'entraîne une perte de confiance de la part de leurs clients. C'est pourquoi Google, Apple et Microsoft encouragent l'utilisation d'au moins TLS 1.2.
TLS 1.0 et 1.1 sont vulnérables aux attaques CRIME, BEAST, FREAK, LogJam et POODLE, mais TLS 1.2 et TLS 1.3 offrent une protection renforcée lors des transferts de données. En outre, la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) exige au moins TLS 1.2 pour la conformité.
TLS 1.2 et 1.3 prennent en charge les suites de chiffrement et les algorithmes les plus récents, et ont supprimé les fonctions de hachage qui ne sont pas sûres, comme SHA-1 et MD5.
Une poignée de main TLS initie une session TLS. IT n'est pas l'événement de la session sécurisée elle-même. La poignée de main TLS ne chiffre pas les données, mais elle détermine la méthode de chiffrement. Le cryptage des données a lieu au cours d'une session, à l'aide du secret partagé généré lors de la poignée de main TLS.
La poignée de main TLS commence par la négociation d'une version TLS et la sélection d'une suite de chiffrement appropriée. Une suite de chiffrement est une combinaison d'algorithmes. Chaque algorithme a une tâche, par exemple le chiffrement, l'authentification et l'échange de clés. Le serveur choisit d'emblée l'algorithme d'échange de clés qui sera utilisé.
La poignée de main utilise le chiffrement asymétrique pour initier une connexion. Cette méthode de cryptage entraîne une certaine surcharge en termes de ressources. Une clé publique est utilisée pour le cryptage et une clé privée pour le décryptage. Dans TLS, la paire de clés est utilisée pour créer une clé partagée, parfois appelée secret partagé, clé pré-maîtresse ou clé maîtresse. Une fois la poignée de main réussie, la session utilise la clé partagée, ou clé de session, pour chiffrer les données dans les messages ultérieurs entre le client et le serveur. La session utilise alors le chiffrement symétrique. Ce type de chiffrement est beaucoup moins coûteux que le chiffrement asymétrique et plus efficace.
Une poignée de main SSL/TLS se compose des messages et étapes suivants : ClientHello, ServerHello, Certificat (facultatif), ServerKeyExchange, ServerHelloDone, ClientKeyExchange, ChangeCipherSpec, ChangeCipherSpec, et Finished. Avant TLS 1.3, la poignée de main se déroule comme suit.
Depuis TLS 1.3, le protocole est plus efficace. Le client détermine le meilleur protocole cryptographique pour la connexion et partage sa clé dans le premier message qu'il envoie au serveur. TLS 1.3 utilise le protocole Diffie-Hellman à courbe elliptique (ECDH). ECDH est un protocole d'accord de clé qui permet à un client et à un serveur de partager une clé secrète ou de créer une nouvelle clé secrète sur un canal qui n'est pas sécurisé.
TLS 1.3 a été introduit pour réduire l'utilisation de technologies peu sûres comme les algorithmes obsolètes, permettre la rétrocompatibilité avec les anciennes versions du protocole, accélérer les connexions, améliorer la sécurité et utiliser des techniques plus récentes comme l'autorisation d'un nombre réduit d'options de chiffrement plus fiables.
TLS 1.3 a mis fin à la prise en charge de certains algorithmes et chiffrements obsolètes, comme l'algorithme DES, le chiffre RC4, le hachage SHA-1, le chiffre CBC, l'algorithme MD5, l'échange de clés RSA et certaines méthodes de chiffrement Diffie-Hellman (mais pas toutes). TLS 1.2 prend en charge 37 suites de chiffrement. TLS 1.3 ne prend en charge que cinq suites de chiffrement.
Traditionnellement, l'algorithme de chiffrement RSA était l'une des méthodes les plus populaires pour échanger des clés de session sécurisées. RSA a été quelque peu discrédité parce qu'il ne fournit pas de mode de clé éphémère (temporaire ou spécifique à la session), ce qui est nécessaire pour assurer une parfaite sécurité de transmission (Perfect Forward Secrecy - PFS). La PFS garantit que si un attaquant enregistre des informations chiffrées et parvient à voler la clé privée associée, il ne sera toujours pas en mesure de déchiffrer les informations.
Quatre nouvelles fonctionnalités de TLS 1.3 permettent d'accélérer la poignée de main TLS. La reprise de session TLS vérifie si un serveur et un client ont déjà communiqué, et si c'est le cas, certains contrôles de sécurité sont ignorés. Le faux départ TLS permet à un serveur et à un client de commencer à transmettre des données avant que la poignée de main TLS ne soit finalisée. La poignée de main TLS 1.3 ne nécessite qu'un seul aller-retour, au lieu des deux utilisés dans TLS 1.2. Dans TLS 1.2 et les versions antérieures, le premier aller-retour comprend les étapes de rencontre. Le deuxième aller-retour comprend l'Exchange des clés et le changement du type de chiffrement d'asymétrique à symétrique. Enfin, la reprise à temps zéro aller-retour (0-RTT) permet la génération d'une clé de reprise maîtresse.
PRTG est un logiciel de supervision Network très complet qui assure le suivi de l'ensemble de votre infrastructure IT.
Pour les propriétaires de sites web, TLS peut sembler avoir un effet négatif sur les performances de leur site. Par exemple, en cas de trafic important ou de ressources informatiques réduites, TLS peut sembler contribuer à allonger les temps de chargement du site web. Une vulnérabilité potentielle est que TLS peut parfois permettre à un serveur mal configuré de choisir une méthode de cryptage faible. Les premières mises en œuvre de TLS peuvent entraîner une baisse temporaire du trafic, car le site web doit être réindexé. En outre, les anciens modules complémentaires et plugins peuvent ne pas être compatibles avec le protocole HTTPS.
Pour les internautes en général, une mauvaise compréhension du fonctionnement des certificats peut jouer un rôle dans les échecs perçus de TLS. Par exemple, les attaquants peuvent tirer parti de certificats expirés ou non fiables. Bien qu'un navigateur affiche un avertissement indiquant qu'un certificat a expiré ou n'est pas fiable, certains utilisateurs peuvent ignorer cet avertissement.
TLS peut confondre un pare-feu avec une attaque de type "man-in-the-middle". Conçu pour fournir un chiffrement et une sécurité de bout en bout, TLS empêche les outils de sécurité réseau d'inspecter le trafic pour détecter d'éventuels logiciels malveillants. Pour empêcher une attaque de l'homme du milieu, on empêche le client d'inspecter ses propres données et de s'assurer qu'elles sont exemptes de logiciels malveillants. Le moyen d'effectuer cette inspection est une boîte intermédiaire, mais celle-ci peut être identifiée par erreur par TLS comme un homme du milieu et peut parfois empêcher l'accès légitime au serveur. Le secteur financier a fait pression pour que des changements soient apportés au fonctionnement des boîtes intermédiaires.
TLS est également vulnérable aux attaques par déclassement. RSA est un algorithme d'Exchange utilisé par toutes les versions de TLS à l'exception de la version 1.3. RSA détermine comment un client et un serveur vont authentifier leurs informations d'identification pendant la poignée de main TLS dans le but de négocier un secret partagé. Cependant, RSA est vulnérable aux attaques par canal latéral. Ces attaques sont indirectes et involontaires. Elles résultent généralement d'une mise en œuvre défectueuse d'un système de cryptographie, qui permet involontairement la fuite d'informations qu'un attaquant peut utiliser pour découvrir la clé privée d'une conversation. On peut comparer cette situation à celle d'un voleur qui se heurterait au système de sécurité de votre voiture. Au lieu d'essayer de pénétrer dans la voiture sur place, où l'alarme vous alerterait, le voleur charge simplement le véhicule sur un camion à plateau, l'emmène ailleurs et s'y introduit.
Malgré ces faiblesses, TLS est indispensable à la communication en ligne. Des mises à jour régulières du protocole permettent d'améliorer encore la sécurité et les performances.
