Modele protocole de securite transport

L`architecture et l`infrastructure de gestion SNMP (RFC 3411) définissent les menaces de sécurité qui doivent être abordées par un modèle de sécurité. Cette section résume l`approche adoptée par les deux modèles de sécurité pour se protéger contre les menaces. Chaque menace est définie et suivie d`abord par l`approche du modèle de sécurité basé sur l`utilisateur (USM). Deuxièmement, les mesures prises par le modèle de transport de sécurité de couche de transport (TLSTM) fonctionnant par le modèle de sécurité de transport pour SNMP (avec TLS ou DTLS) sont décrites. Cette attaque, découverte à la mi-2016, exploite les faiblesses du protocole WPAD (Web proxy AutoDiscovery Protocol) pour exposer l`URL qu`un utilisateur Web tente d`atteindre via un lien Web compatible TLS. [312] la divulgation d`une URL peut violer la vie privée d`un utilisateur, non seulement en raison du site Web accédé, mais aussi parce que les URL sont parfois utilisées pour authentifier les utilisateurs. Les services de partage de documents, tels que ceux proposés par Google et Dropbox, fonctionnent également en envoyant à un utilisateur un jeton de sécurité inclus dans l`URL. Un attaquant qui obtient de telles URL peut être en mesure d`obtenir un accès complet au compte ou aux données d`une victime. Figure 1: les entités SNMP peuvent utiliser la sécurité basée sur le transport et la sécurité basée sur les messages un certificat peut être révoqué avant son expiration, par exemple parce que le secret de la clé privée a été compromis.

Les versions plus récentes des navigateurs populaires tels que Firefox [25], Opera [26] et Internet Explorer sur Windows Vista [27] implémentent le protocole OCSP (Online Certificate Status Protocol) pour vérifier que ce n`est pas le cas. Le navigateur envoie le numéro de série du certificat à l`autorité de certification ou à son délégué via OCSP et l`autorité répond, indiquant au navigateur si le certificat est toujours valide. [28] TLS 1,2 est la version actuelle du protocole, et à partir de cette écriture, le groupe de travail sur la sécurité de la couche de transport de l`IETF travaille sur TLS 1,3 pour remédier aux vulnérabilités qui ont été exposées au cours des dernières années, réduire les chances de mise en œuvre les erreurs et supprimer les fonctionnalités ne sont plus nécessaires. TLS 1,3 est toujours un brouillon et n`a pas encore été finalisé, mais avoir un protocole mis à jour qui est plus rapide, plus sûr et plus facile à mettre en œuvre est essentiel pour assurer la confidentialité et la sécurité de l`échange d`informations et de maintenir la confiance dans l`ensemble de l`Internet. Netscape Communications a créé HTTPS en 1994 pour son navigateur Web Netscape Navigator. [41] à l`origine, HTTPS a été utilisé avec le protocole SSL. Au fur et à mesure que SSL évoluait en TLS (Transport Layer Security), le protocole HTTPS était formellement spécifié par RFC 2818 en mai 2000. Le protocole SMTP (Simple Mail Transfer Protocol) peut également être protégé par TLS.

Ces applications utilisent des certificats de clé publique pour vérifier l`identité des points de terminaison. En septembre 2014, une variante de la vulnérabilité de Forgery de signature RSA PKCS # 1 v 1.5 de Daniel Bleichenbacher [316] a été annoncée par la recherche avancée de menace d`Intel Security. Cette attaque, surnommée BERserk, est le résultat d`un décodage inachevé de la longueur ASN. 1 des signatures de clé publique dans certaines implémentations SSL, et permet une attaque man-in-the-Middle en forgeant une signature de clé publique. [317] Network Security Services (NSS), la bibliothèque de cryptographie développée par Mozilla et utilisée par son navigateur Web Firefox, a activé TLS 1,3 par défaut en février 2017. [24] TLS 1,3 a été ajouté à Firefox 52,0, qui a été publié en mars 2017, mais il a été désactivé par défaut en raison de problèmes de compatibilité pour certains utilisateurs. [25] il a été activé par défaut depuis Firefox 60,0. [26] selon la spécification du protocole, TLS est composé de deux couches: le protocole d`enregistrement TLS et le protocole de négociation TLS. Le protocole d`enregistrement fournit la sécurité de connexion, tandis que le protocole de poignée de main permet au serveur et au client de s`authentifier mutuellement et de négocier des algorithmes de cryptage et des clés cryptographiques avant que toutes les données soient échangées.