{"id":2799,"date":"2013-09-23T09:12:05","date_gmt":"2013-09-23T07:12:05","guid":{"rendered":"http:\/\/www.laurentmarot.fr\/wordpress\/?p=2799"},"modified":"2013-09-26T07:54:43","modified_gmt":"2013-09-26T05:54:43","slug":"ssltls-histoire-fonctionnement-securite-et-failles-a-la-cantine","status":"publish","type":"post","link":"https:\/\/www.laurentmarot.fr\/wordpress\/?p=2799","title":{"rendered":"SSL\/TLS : Histoire, fonctionnement, s\u00e9curit\u00e9 et failles \u00e0 La Cantine"},"content":{"rendered":"
\"SSL\/TLS<\/a>

SSL\/TLS \u00e0 La Cantine<\/p><\/div>\n

J\u2019ai assist\u00e9 le \u00a020 septembre 2013 de 19h00 \u00e0 23h00\u00a0avec une cinquantaine de personnes \u00e0 la conf\u00e9rence donn\u00e9e par Benjamin Sonntag<\/a> (@vincib<\/a>).<\/p>\n

Je vous en relate l\u2019ambiance ci-dessous\u00a0:<\/p>\n

J\u2019arrive \u00e018H45, un peu stress\u00e9 et affam\u00e9. Je ne connais pas l\u2019endroit et suis un peu intimid\u00e9 par les pointures que je vais croiser.<\/p>\n

Vu que je suis l\u2019un des seuls en costard, les gus doivent penser que je suis de la NSA ou du service d\u2019ordre. L\u2019assembl\u00e9e est en effet largement bigarr\u00e9e, de 18 \u00e0 78 ans et rafraichie \u00e0 la bi\u00e8re. Je n\u2019ose pas aller au comptoir en commander une, de peur de perdre ma place privil\u00e9gi\u00e9e plein axe au troisi\u00e8me rang. On est loin de l\u2019ambiance feutr\u00e9e proutprout du\u00a0salon \u00ab\u00a0DSI\u00a0 de l\u2019ann\u00e9e\u00a0\u00bb. Ici, c\u2019est cool attitude et coupe de cheveux hors standard. Les auditeurs arborent majoritairement le look hacktiviste assorti de l\u2019ordinateur portable recouvert de stickers \u00e0 l\u2019effigie des grands rendez-vous du hacking. A c\u00f4t\u00e9 d\u2019eux, le moindre startuper de la Silicon Valley ferait BCBG\u00a0coinc\u00e9 !<\/p>\n

Je reconnais dans l\u2019assembl\u00e9e quelques visages r\u00e9v\u00e9l\u00e9s par Twitter.\u00a0 Je remarque qu\u2019il y a m\u00eame quelques sujets f\u00e9minins, un spectateur dont l\u2019allure est quelque part entre clodo, Richard Stallman et L\u00e9o Ferr\u00e9, un sosie du fr\u00e8re du p\u00e8re no\u00ebl, quelques tronches de vieux hippies, une poign\u00e9e d\u2019\u00e9tudiants en \u00e9cole d\u2019informatique qui ont d\u00fb arr\u00eater toute activit\u00e9 sportive en CE2, un couple de cinquantenaires visiblement \u00e9gar\u00e9, quelques consultants encostum\u00e9s, un extra-terrestre iroquois \u2026 et Benjamin Sonntag. On reconnait dans le regard de chacun d\u2019eux la petite lueur de la passion. \u00a0On ne vient pas un vendredi soir apr\u00e8s le boulot \u00e0 la Cantine comme on va assister au dernier Workshop Microsoft Winbouse2013 ou au talk branch\u00e9 \u00a0Apple merde-I-5f pour se la couler douce une demi-journ\u00e9e.<\/p>\n

Affair\u00e9 \u00e0 ses derniers pr\u00e9paratifs, Benjamin est serein et d\u00e9termin\u00e9. On devine la maitrise du sujet \u00e0 peine perturb\u00e9e par les couacs du tcpDump.<\/p>\n

Apr\u00e8s avoir salu\u00e9 l\u2019assistance, il nous embarque pour pr\u00e8s de trois heures dans l\u2019univers de TLS, des certificats et autorit\u00e9s de certification, des courbes elliptiques et de Diffie-Hellman\u2026 mais aussi dans le monde de la s\u00e9curit\u00e9 au sens large et du respect de la vie priv\u00e9e. Quelques centaines de minutes de discours pos\u00e9, pr\u00e9cis, argument\u00e9, illustr\u00e9 d\u2019exemples, de d\u00e9mos et d\u2019anecdotes. Ca s\u2019\u00e9coute comme une belle histoire\u2026 J\u2019aurais pu venir avec ma m\u00e8re. Ressurgissent r\u00e9guli\u00e8rement les r\u00e9f\u00e9rences \u00e0 son quotidien et ses activit\u00e9s au sein de La Quadrature de Net. Transparait le c\u00f4t\u00e9 humaniste du personnage.<\/p>\n

Dans l\u2019assistance \u00e7a ne bronche pas, le bagage technique moyen \u00e9tant \u00e9lev\u00e9, on va pouvoir aborder une bonne partie de la technicit\u00e9 du probl\u00e8me sans lassitude. Je ne r\u00e9sumerai pas le contenu formel de la pr\u00e9sentation, dont on retrouvera bient\u00f4t l\u2019int\u00e9gralit\u00e9 ici<\/a> sur le web, de peur de le d\u00e9naturer et de ne pas en reproduire l\u2019exhaustivit\u00e9.<\/p>\n

Reprenant Bruce Schneier et Snowden (Prix Nobel de la paix 2025\u00a0?), Benjamin insiste largement sur le fait que la crypto nous apporte le niveau de s\u00e9curit\u00e9 et de confidentialit\u00e9 que l\u2019on se doit d\u2019attendre d\u2019elle<\/strong>. Le chiffrement, malgr\u00e9 la fragilit\u00e9 du mod\u00e8le de confiance fourni par les autorit\u00e9s de certification commerciales et les difficult\u00e9s de prot\u00e9ger les sacro-saintes clefs priv\u00e9es est s\u00fbr\u00a0;\u00a0 M\u00eame s\u2019il est techniquement possible de casser du RSA 1024 pour quelques millions de dollars, le maillon faible est bien ailleurs \u2026 \u00e0 la fois dans la faiblesse, l\u2019inconsistance, et les motivations inavouables toutes malheureusement humaines. Ce sont celles-ci qui font qu\u2019il existe aujourd\u2019hui des impl\u00e9mentations de protocoles s\u00e9curis\u00e9s pourries utilisant des algorithmes cass\u00e9s ou con\u00e7us avec des portes d\u00e9rob\u00e9es ou pire, car de mani\u00e8re g\u00e9n\u00e9ralis\u00e9e, fonctionnant sur des plateformes mat\u00e9rielles pour le moins dangereusement herm\u00e9tiques.<\/p>\n

Alors, pour se prot\u00e9ger, comment faire\u00a0?<\/strong><\/p>\n

Ne pas avoir une confiance aveugle envers les marchands de solutions de s\u00e9curit\u00e9 qui vous vantent\/vendent leur \u00ab\u00a0cryptage\u00a0\u00bb propri\u00e9taire inviolable.\u00a0 Faire confiance, avec un \u0153il critique, \u00e0 la crypto dont le code source est ouvert et auditable.\u00a0 Comprendre les m\u00e9canismes mis en \u0153uvre afin de v\u00e9rifier que votre entreprise ne vous offre aussi gentiment que secr\u00e8tement un joli certificat de chez Bluecoat qui lui permet de d\u00e9chiffrer tous vos \u00e9change HTTPS. Etre en mesure d\u2019expliquer \u00e0 tout un chacun les objectifs de la s\u00e9curisation des \u00e9changes dans le \u00a0respect de la vie priv\u00e9e afin de ne pas tomber, sans s\u2019en rendre compte dans le pi\u00e8ge des Google, Paypal et consorts ou de se faire pirater ses comptes par le premier script kiddy en omettant le \u00ab\u00a0s\u00a0\u00bb de HTTPS.<\/p>\n

@LauMarot<\/a><\/p>\n

Toute la conf est disponible en vid\u00e9o et les diapositives du support sont\u00a0t\u00e9l\u00e9chargeables ici<\/a>. Du vraiment bon boulot !<\/p>\n\n","protected":false},"excerpt":{"rendered":"

J\u2019ai assist\u00e9 le \u00a020 septembre 2013 de 19h00 \u00e0 23h00\u00a0avec une cinquantaine de personnes \u00e0 la conf\u00e9rence donn\u00e9e par Benjamin Sonntag (@vincib). Je vous en relate l\u2019ambiance ci-dessous\u00a0: J\u2019arrive \u00e018H45, un peu stress\u00e9 et affam\u00e9. Je ne connais pas l\u2019endroit et suis un peu intimid\u00e9 par les pointures que je vais croiser. Vu que je […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20,34],"tags":[],"_links":{"self":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/2799"}],"collection":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2799"}],"version-history":[{"count":7,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/2799\/revisions"}],"predecessor-version":[{"id":2842,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/2799\/revisions\/2842"}],"wp:attachment":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2799"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2799"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2799"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}