Parmi les protocoles de sécurité réseau suivants, lequel ne permet pas d’assurer la confidentialité des données en transit ?

[A] SSL v2

[B] TLS v1.3

[C] IPsec mode AH

[D] IPsec mode ESP


reponse linkedin

LK CBK4 Q01


Encore une question où il est à priori facile d’éliminer une réponse. En effet TLS 1.3 est aujourd’hui très largement utilisé notamment pour la mise en œuvre du protocole https. Selon un monitoring mensuel réalisé par Qualys (SSL Labs / SSL Pulse) sur près de 150 000 serveurs Web accessibles sur Internet, il y a en janvier 2022 : 99,6% des serveurs qui supportent TLS v1.2 et 51,4% TLS v1.3 qui est la dernière version actuellement en vigueur. Dès lors, il ne fait absolument aucun doute que TLS v1.3 assure effectivement la confidentialité des données en transit. En effet, qui voudrait acheter sur Internet avec un numéro de CB qui circule en clair sur le réseau ? On constate pourtant que 10% des participants sur Linkedin ont choisit cette réponse. Sachant qu’une très grande majorité de ces personnes travaillent dans la Cybersécurité, on peut sans doute attribuer cette erreur à une lecture trop rapide de la question. La question indique en effet « … lequel NE permet PAS d’assurer la confidentialité ». Alors attention car dans l’examen officiel du CISSP, il y a souvent des négations et elles ne sont pas mentionnées en gras. Il convient donc de prendre son temps et de lire systématiquement 2 fois la question avant de chercher à y répondre.

Concernant SSL v2, le protocole assure t-il la confidentialité des données ? Et bien oui. Il a même été inventé spécifiquement pour ça en 1995 par Netscape. Les 2 versions du protocole (v2 et v3) apportent également d’autres fonctionnalités de sécurité comme l’intégrité ou l’authentification mais ce n’est pas l’objet de cette question.
Alors bien sûr SSL v2 n’est pas exempt de tout défaut et il a même été officiellement déprécié en 2011.

Voici pour information les 4 principales raisons qui ont conduit à sa dépréciation (RFC 6176) :
• L’authentification des messages utilise MD5 qui est une fonction de hachage vulnérable aux collisions.
• Les messages du « handshake » ne sont pas protégés ce qui permet à un attaquant de forcer le navigateur à utiliser une « cipher suite » faible (downgrade attack)
• L’intégrité (MAC) et le chiffrement des messages utilisent la même clé
• Les sessions SSL peuvent être terminées prématurément par un attaquant

Et comme toujours avec les questions du CISSP, il faut choisir la meilleure réponse. Alors regardons les autres propositions et voyons si c’est mieux ou moins bien que SSL v2 en matière de confidentialité.

Que peut-on dire du protocole IPsec en mode ESP ?
Est-ce que le protocole chiffre les données en transit : OUI
Est-ce que le protocole n’est pas recommandé ou pire déprécié : NON

Que peut-on dire du protocole IPsec en mode AH ?
Est-ce que le protocole chiffre les données en transit : NON
Donc avec IPsec AH les données circulent en clair sur le réseau : OUI
Alors à quoi il sert : à offrir d’autres services de sécurité comme l’authentification ou l’intégrité

Conclusion : entre un protocole (SSL v2) qui n’est certes pas parfait mais qui offre un service natif de chiffrement des données et un autre (IPsec mode AH) qui n’offre strictement aucun service de confidentialité des données, il n’y a pas photo.

C’est bien la proposition [C] IPsec mode AH qu’il faut choisir comme réponse à cette question.

 


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE