SSL dispose de solution de sécurité faisant cruellement défaut au
protocole IP :
- Un acheminement des données cryptées
- La garantit de s’adresser à la bonne personne (au bon site Internet)
- La non répudiation …
- L’intégriter des messages reçus
Note : la non répudiation permet d’empêcher à un tiers de nier la réalisation d’une action (dans notre cas l’envoi de données)
Concrètement cela veut dire que lors de la communication, une personne ou un système ne sera pas en mesure de “voir” le trafic ni de se faire passer pour quelqu’un d’autre (un site Internet par exemple)
Par extension, un firewall sera incapable d’analyser les communications entre les deux deux partis (couple client/serveur). Pour les plus malins d’entre vous, cela veut dire que nous pouvais tout et n’importe quoi une fois la communication établit.
Il faut rester lucide … SSL ne permet pas tout. Si il offre la sécurité du transport, il ne permet PAS :
- De sécuriser un client ou un serveur
- Que le serveur ne fera pas n’importe quoi avec vos données.
Exemple :
Scénario 1 :Le client est vérolé par un spyware du type “Keylogger” permettant d’intercepter les données directement du clavier et de les envoyer à une tierce personne.
Scénario 2 : Un pirate ayant attaqué le serveur et étant capable de récupérer tous les données des clients.
Lors d’un achat en ligne, vous fournissez des informations au site marchand. Ce site ira lui même vérifier et débiter le compte avec le site de votre banque. Votre connexion sécurisé est complètement indépendante de la connexion entre le site marchand et votre banque.