Il va être temps de réfléchir à une alternative à SSL. Il y a quelques mois, on apprenait que des certificats en provenance d'un partenaire de Comodo avaient été retrouvés quelque part sur internet, permettant ensuite à une entité malveillante d'effectuer des attaques man-in-the-middle sur des services tels que Gmail, MSN, Skype, etc.
L'histoire se répète, ce soir on apprend qu'un rogue certificate est utilisé en Iran pour faire du monitoring des connexions vers Gmail. Vous trouverez un screenshot montrant comment les gens s'en sont rendu compte ici (Aneffet, Chrome utilise le "Public Key Pinning" depuis quelques versions maintenant, ce qui explique pourquoi ce brave utilisateur a eu une erreur fatale, au lieu d'avoir sa page gmail classique).
News0ft avait déjà parlé de ce genre de problèmes (mais aussi tous les autres) il y a un peu plus d'un an, dans un long post plutôt bien foutu. On devait juste s'y attendre un beau jour.
A l'heure actuelle, il n'y a pas d'alternative viable. Juste des "patchs" pour ajouter des surcouches supplémentaires de sécurité (public key pinning par exemple), mais qui ne sont pas utilisables dans la vraie vie par tout le monde (dans le cas de gmail avec chrome, c'est parce que google a intégré ses propres règles en dur dans le navigateur, pour d'autres services, ça ne sera pas aussi évident :)). Puis de toutes façons, une entité effectuant un man-in-the-middle et proposant une CA non valide empêchera l'accès au service si on prend les mesures nécessaires pour la bloquer. Ensuite, d'ici à ce que la HADOPI ait le droit de faire ça pour s'assurer qu'on ne s'échange pas de MP3 de grands artistes...
