Trop souvent, lorsqu'on demande à une personne si l'application sur laquelle elle se connecte est sécurisé, on reçoit en réponse : "bien sur, c'est chiffré", parce qu'il s'agit de HTTPS, SSH ou autre.
Il faut briser cette croyance que chiffrer sécurise un service réseau.
Le chiffrement, si le processus de mise en place est intègre et abouti, n'a pour finalité que de préserver la confidentialité. En d'autres termes, une personne malveillante qui écouterait le réseau ne verra passer qu'un brouillat au lieu de données d'authentification par exemple.
Mais avant de parler chiffré, le service réseau doit tout simplement parler. Par conséquent, s'il a une vulnérabilité qui, correctement exploitée, permettrait de gagner des privilèges ou de prendre la main à distance par un débordement de pile, le chiffrement ne la fera pas disparaître.
Dans le même esprit, si l'application WWW d'un serveur HTTPS présente des faiblesses d'injection par exemple, celles-ci seront toujours exploitables malgré le chiffrement.
Pour sécuriser une application, seuls les correctifs de sécurité, la validation d'une bonne configuration sécurisée du service et la vérification des programmes utilisés sur le WWW dans le cas de script CGI ou de pages actives ASP ou PHP par exemple permettront de réduire ce risque.
-