L’IETF veut renforcer l’implémentation de TLS

C’est un nouvel effet des révélations liées au scandale Prism. L’Internet Engineering Task Force (IETF) vient en effet de mettre en place un groupe de travail dont l’objectif sera d’améliorer l’implémentation, dans les logiciels, du protocole TLS (Transport Layer Security), afin de renforcer la confidentialité des échanges sur Internet. 

Dans la charte de ce groupe de travail, l’IETF indique ainsi « qu’il y a un intérêt renouvelé et urgent à ce que l’IETF renforce la sécurité des transmissions sur Internet ». Rappelant que TLS est utilisé pour authentifier le serveur et parfois le client, pour chiffrer leurs échanges, l’organisation relève qu’il y a « de nombreuses définitions et exigences, et que cette diversité a créé la confusion chez les développeurs d’applications, conduisant à un manque d’interopérabilité ou de déploiement. Ceux qui implémentent et déploient [TLS] sont confrontés à de multiples problèmes de sécurité dans l’usage concret de TLS ».

Le nouveau groupe de travail va donc devoir mettre à jour les définitions liées à l’usage de TLS dans le cadre de plusieurs protocoles applicatifs « représentatifs » : communications avec des proxys, entre serveurs, entre pairs, etc, … avec en tout premier lieu SMTP, POP, IMAP, XMPP, et HTTP 1.1. Et il devra également spécifier un ensemble de pratiques de référence pour les clients et serveurs TLS, voire étudier et « si possible définir une façon standard pour un client applicatif et un serveur d’utiliser un chiffrement sans authentification, avec TLS, lorsque l’un des deux n’a pas pu être authentifié ». 

Enfin, le groupe de travail devra « créer un document aidant les développeurs de protocoles applicatifs à utiliser TLS dans leurs futures définitions d’applications ».