Interception/déchiffrement du TLS 1.3

Bonjour à tous, Il n’y a pas longtemps, on m’a demandé pourquoi faire de l’interception/déchiffrement du TLS 1.3, ça pouvait être « compliqué » comme je le disais. J’avais en tête le truc dans les grandes lignes avec en particulier le fait que le SNI passait désormais dans le handdshake chiffré par TLS, rendant plus compliqué l’interception des clés des certificats associés à la communication.

C’était un peu léger comme explication, je me basais surtout sur mes expériences avec TLS la lecture de ce papier de Symantec/Broacom sur le sujet. Néanmoins c’était une vue très bas niveau du sujet. Puis en commençant mes recherches pour vous écrire un article sur le sujet, je suis tombé sur cet article de Vladimir Kolla :

TLS 1.3, ESNI, DoH, interception… ce n’est pas si compliqué 😉

https://greenlock.ghost.io/tls-1-3/

Et puis je me suis dis qu’il y avait pas grand chose à dire de plus en fait là…

Son article est juste nickel, s’il était en Creative Commons, je vous l’aurais bien remis « as-it » sur mon blog mais bon tant pis, je me contenterai de la ref. Du coup son post fait aussi référence au No Limit Secu sur TLS 1.3, qui date un peu, mais me parait être une bonne introduction au sujet. pour ceux qui cherche d’autres source, allez jetez un oeil à ces sources :

En conclusion TLDR si vous ne voulez pas aller lire tout ce que je vous ai envoyé, retenez que l’interception de TLS 1.3 est « plus compliqué techniquement » mais pas impossible. Que nécessite plus de ressources matérielle pour réaliser la même chose qu’en TLS 1.2 ou simplement de diminuer la sécurité de la communication pour pouvoir revenir à un système similaire au TLS 1.2.

Pour finir avec mon avis sur le sujet de l’Interception/déchiffrement du TLS 1.3 à des fins de supervisions de sécurité dans les environnements professionnels. Si vous l’avez déjà en place, conservez là tant que vous pouvez mais configurez de manière à ne pas diminuer la sécurité des flux pour votre confort. Dans le cas, où vous réfléchiriez à la mettre en œuvre aujourd’hui. Il peut être encore temps de changer de sujet et de déployer un bel EDR ou Sysmon d’abord qui vous donnera plus de visibilité pour le même prix.

Maintenant vous faite comme que vous voulez » ! Geekez bien !

2 commentaires on “Interception/déchiffrement du TLS 1.3

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.