SSL cassé, le Web sécurisé montre ses limites

En septembre dernier, nos confrères de CNIS se faisaient l’écho, dans nos colonnes, d’une vague d’articles traitant des limites de HTTPS, la version sécurisée du protocole HTTP par SSL. Ces limites pourraient être plus proches qu’on ne le pensait alors. De fait, une équipe internationale de chercheurs en sécurité informatique est parvenue, à l’aide d’un cluster de 200 consoles de jeu vidéo PlayStation 3, à exploiter un bug de l’algorithme MD5 utilisé pour la création de certains certificats SSL, jusqu’à pirater le site RapidSSL de Verisign et créer de faux certificats.

Et de montrer qu’il est ainsi possible de créer de faux certificats SSL, en usurpant l’identité d’une autorité de certification. De quoi alimenter un peu plus le moulin des « phishers » de tous poils. Enfin presque. Car les faiblesses de MD5 sont connues et son remplacement par SHA-1 est déjà largement entamé. Dans un entretien accordé au Washington Post, Tim Callan, vice-président de Verisign, explique d’ailleurs que RapidSSL aura complètement abandonné MD5 en janvier 2009.