Une entreprise de services financiers met à jour son infrastructure de réseau pour garantir la sécurité des transactions en ligne. L’organisation a décidé d’implémenter TLS (Transport Layer Security) pour sécuriser les communications entre ses clients et son portail en ligne. L’équipe de sécurité est chargée de configurer correctement le protocole TLS.
Quelle est la meilleure approche pour implémenter TLS afin de maximiser la sécurité des communications client-serveur ?
[A] Configurer les serveurs pour accepter toutes les versions de TLS afin de maximiser la compatibilité avec les clients
[B] Configurer exclusivement TLS 1.3 sur les serveurs et désactiver toutes les versions antérieures
[C] Configurer exclusivement TLS 1.2 et TLS 1.3 sur les serveurs et désactiver toutes les versions antérieures
[D] Activer par défaut la dernière version de TLS sur le portail web mais permettre aux utilisateurs de choisir une version plus ancienne s’ils rencontrent des problèmes de compatibilité
Proposition [A] : Configurer toutes les versions de TLS augmente la compatibilité mais expose les services réseaux à des vulnérabilités et attaques connues (POODLE, BEAST,…). Cette approche est contraire aux meilleures pratiques de sécurité.
Proposition [B] : N’accepter que la version 1.3 de TLS peut poser des problèmes de compatibilité avec d’anciens clients qui ne supportent pas cette version et qui pourrait fonctionner en toute sécurité avec la version 1.2.
Proposition [C] : N’accepter que les versions 1.2 et 1.3 de TLS est la bonne solution alliant ainsi sécurité et compatibilité. L’état de l’art à ce jour (juin 2024) consiste à proposer TLS 1.3 par défaut et d’accepter éventuellement la version 1.2 pour les clients qui ne supportent pas la version 1.3.
Proposition [D] : Cette proposition est globalement équivalente à la proposition [A] dans la mesure où toutes les versions de TLS doivent être configurées. Permettre aux clients d’utiliser d’anciennes versions de TLS pour résoudre d’éventuels problèmes de sécurité n’est pas conforme aux meilleures pratiques de sécurité.
La bonne réponse est la proposition [C]
Pour en savoir plus sur SSL/TLS nous vous recommandons de suivre le module n°7 de la formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE