Gabriele SalatiSysadmin, vie privée et self-hosting

← Tous les articles ·

Perfect Forward Secrecy

La sécurité des communications chiffrées n’est pas une option : c’est la base de toute infrastructure qui respecte la vie privée des utilisateurs. Dans cet article, on analyse les vulnérabilités historiques de SSL et des premières versions de TLS, pourquoi il est aujourd’hui nécessaire d’utiliser exclusivement TLSv1.2 et TLSv1.3, quels chiffres choisir et lesquels éviter, et comment configurer correctement les serveurs les plus courants.

L’histoire des vulnérabilités : de SSL à TLSv1.1

Le protocole SSL (Secure Sockets Layer) et les premières versions de TLS (Transport Layer Security) ont accumulé au fil des années une série de vulnérabilités critiques qui les rendent aujourd’hui complètement inadaptés à un usage en production.

SSLv2 et SSLv3 : des protocoles défunts

SSLv2 (1995) présentait des défauts structurels très graves : il utilisait MD5 pour l’intégrité des messages (aujourd’hui considéré comme cryptographiquement cassé), permettait des attaques de downgrade, et sa structure de handshake était vulnérable à des manipulations. Il a été formellement déprécié en 2011 par la RFC 6176.

SSLv3 (1996) a reçu le coup de grâce avec l’attaque POODLE (Padding Oracle On Downgraded Legacy Encryption) en 2014. Cette attaque exploitait une faiblesse dans le padding CBC de SSLv3, permettant à un attaquant de déchiffrer octet par octet le trafic chiffré. Il n’existe pas de patch : la seule solution est de désactiver complètement SSLv3.

TLSv1.0 : un protocole obsolète

TLSv1.0 (1999), bien qu’étant une amélioration par rapport à SSLv3, hérite de beaucoup de ses problèmes structurels :

BEAST (Browser Exploit Against SSL/TLS, 2011) — Cette attaque exploite une vulnérabilité dans le mode CBC (Cipher Block Chaining) de TLSv1.0. Le vecteur d’initialisation (IV) prévisible permet des attaques chosen-plaintext qui peuvent déchiffrer des cookies de session et d’autres données sensibles.

Lucky Thirteen (2013) — Une attaque timing-based qui exploite des différences temporelles dans la vérification du padding MAC-then-Encrypt, permettant le déchiffrement de texte en clair.

CRIME (Compression Ratio Info-leak Made Easy, 2012) — Exploite la compression TLS pour déduire des informations sur les données chiffrées en analysant la taille des paquets compressés.

TLSv1.1 : insuffisant

TLSv1.1 (2006) a introduit quelques atténuations contre BEAST (IV explicite pour CBC), mais reste vulnérable à :

Attaques de downgrade — Un attaquant man-in-the-middle peut forcer l’usage de chiffres faibles.

Absence d’AEAD — Ne supporte pas les chiffres Authenticated Encryption with Associated Data, fondamentaux pour la sécurité moderne.

Chiffres faibles encore supportés — Permet l’usage de RC4 (complètement cassé), 3DES (vulnérable à Sweet32), et d’autres chiffres obsolètes.

Depuis mars 2021, tous les navigateurs principaux ont supprimé le support de TLSv1.0 et TLSv1.1. Le PCI DSS (Payment Card Industry Data Security Standard) en interdit l’usage depuis 2018.

Pourquoi seulement TLSv1.2 et TLSv1.3

TLSv1.2 : le standard actuel

TLSv1.2 (2008) introduit des améliorations fondamentales :

Support AEAD — Des chiffres comme AES-GCM et ChaCha20-Poly1305 qui combinent chiffrement et authentification en une seule opération, éliminant les vulnérabilités du paradigme MAC-then-Encrypt.

Hash plus robustes — Support de SHA-256 et SHA-384, abandon de MD5 et SHA-1 dans le handshake.

Souplesse dans la négociation — Mécanismes améliorés pour la sélection des algorithmes.

TLSv1.3 : l’avenir, c’est maintenant

TLSv1.3 (2018, RFC 8446) représente une réécriture significative du protocole :

Handshake simplifié — Réduit de 2 round-trips à 1 (ou 0 avec 0-RTT), améliorant la latence et la sécurité.

Chiffres obsolètes éliminés — Fini le RSA key exchange (qui n’offre pas de forward secrecy), fini le mode CBC, fini RC4, 3DES, ou d’autres chiffres faibles. Uniquement AEAD.

Forward Secrecy obligatoire — Tous les échanges de clés utilisent Diffie-Hellman ephemeral (DHE ou ECDHE).

Handshake chiffré — Plus de métadonnées sont chiffrées, réduisant l’exposition au fingerprinting.

Forward Secrecy : pourquoi c’est fondamental

La Perfect Forward Secrecy (PFS) est une propriété cryptographique qui garantit que la compromission de la clé privée du serveur ne permet pas le déchiffrement des communications passées.

Comment ça marche

Sans PFS (RSA key exchange) : le client génère une clé de session, la chiffre avec la clé publique du serveur, et l’envoie. Si un attaquant enregistre tout le trafic et obtient ensuite la clé privée du serveur, il peut déchiffrer toutes les communications passées.

Avec PFS (DHE/ECDHE) : client et serveur génèrent des clés éphémères pour chaque session en utilisant Diffie-Hellman. La clé de session ne voyage jamais sur le réseau. Même en compromettant la clé privée du serveur, les sessions passées restent protégées.

Implications pour la vie privée et le RGPD

Du point de vue de la protection des données personnelles, la PFS n’est pas un luxe mais une nécessité :

Protection rétroactive — Un attaquant qui accumule du trafic chiffré aujourd’hui ne pourra pas le déchiffrer demain, même en obtenant les clés du serveur.

Minimisation des dégâts — En cas de breach, l’impact est limité à la session courante, pas à tout l’historique des communications.

Conformité RGPD — L’article 32 exige des mesures techniques appropriées pour garantir la sécurité des données. La PFS est considérée comme une best practice fondamentale.

Résistance à la surveillance de masse — La PFS rend impraticable la stratégie « enregistre tout, déchiffre plus tard » utilisée par certains acteurs étatiques.

Chiffres GCM : le bon choix

Les chiffres en mode GCM (Galois/Counter Mode) sont des chiffres AEAD qui offrent :

Chiffrement et authentification intégrés — Une seule opération garantit à la fois confidentialité et intégrité, éliminant des vulnérabilités comme Lucky Thirteen.

Parallélisable — GCM peut être accéléré via hardware (AES-NI) et parallélisé, offrant d’excellentes performances.

Pas de padding vulnérable — Étant un mode stream-like, il ne souffre pas des problèmes de padding de CBC.

ChaCha20-Poly1305 : l’alternative

Pour les appareils sans accélération hardware AES, ChaCha20-Poly1305 offre une sécurité équivalente avec d’excellentes performances logicielles. Il est particulièrement indiqué pour les appareils mobiles et embedded.

Chiffres à éviter absolument

Même au sein de TLSv1.2, certains chiffres doivent être explicitement désactivés :

Chiffres complètement cassés

RC4 — Des biais statistiques dans le keystream permettent des attaques pratiques. Déprécié par la RFC 7465.

DES / 3DES — Des blocs de 64 bits vulnérables à Sweet32 (birthday attack). Avec assez de trafic, un attaquant peut récupérer du texte en clair.

Export ciphers — Chiffres intentionnellement affaiblis (40/56 bits) pour respecter d’anciennes restrictions américaines à l’export. Des attaques comme FREAK et Logjam les exploitent.

NULL ciphers — Aucun chiffrement, uniquement de l’authentification. À éviter, évidemment.

Chiffres faibles ou problématiques

Mode CBC sans AEAD — Vulnérable aux padding oracle attacks (POODLE, Lucky Thirteen). Les chiffres CBC comme AES-CBC, même s’ils ne sont pas complètement cassés, sont inférieurs à GCM.

RSA key exchange — Pas de forward secrecy. Si la clé privée est compromise, tout le trafic passé est déchiffrable.

Static DH — Comme RSA, pas de forward secrecy.

MD5 / SHA-1 pour les signatures — Vulnérables aux collision attacks.

DHE avec des paramètres faibles — Les groupes DH inférieurs à 2048 bits sont vulnérables. Logjam a démontré des attaques pratiques contre DH à 512 et 1024 bits.

Liste noire explicite

Ces identifiants de chiffre doivent être exclus de la configuration :

NULL, EXPORT, DES, RC4, RC2, MD5, PSK, SRP, DSS, SEED, IDEA, CAMELLIA, ARIA, 3DES, DES-CBC3, SHA1 (pour signatures), RSA (pour key exchange), DHE-RSA-AES*-SHA (variantes non-GCM), ECDHE-RSA-AES*-SHA (variantes non-GCM), ADH, AECDH

Configuration des serveurs

Voici les configurations recommandées pour les serveurs les plus courants. Ces configurations n’activent que TLSv1.2 et TLSv1.3 avec des chiffres AEAD et la forward secrecy.

Apache HTTP Server

Dans le fichier de configuration SSL (par exemple /etc/apache2/sites-available/default-ssl.conf ou /etc/httpd/conf.d/ssl.conf) :

# Protocoles : seulement TLSv1.2 et TLSv1.3
SSLProtocol -all +TLSv1.2 +TLSv1.3

# Chiffres : uniquement AEAD avec Forward Secrecy
SSLCipherSuite TLSv1.3 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

SSLCipherSuite ECDHE+CHACHA20:ECDHE+AESGCM:DHE+CHACHA20:DHE+AESGCM:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK:!RSA:!SHA1

# Le serveur décide de l’ordre des chiffres
SSLHonorCipherOrder on

# Compression SSL désactivée (prévient CRIME)
SSLCompression off

# OCSP Stapling (améliore vie privée et performance)
SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)

# Session tickets avec rotation (ou désactivés pour PFS maximale)
SSLSessionTickets off

# Courbes elliptiques sûres
SSLOpenSSLConfCmd Curves X25519:secp384r1:secp256r1

# Paramètres DH robustes (au moins 2048 bits)
SSLOpenSSLConfCmd DHParameters /etc/ssl/dhparam.pem

# HSTS - Force HTTPS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

Générer les paramètres DH :

openssl dhparam -out /etc/ssl/dhparam.pem 4096

Nginx

Dans le bloc server ou dans un fichier inclus (par exemple /etc/nginx/conf.d/ssl.conf) :

# Protocoles : seulement TLSv1.2 et TLSv1.3
ssl_protocols TLSv1.2 TLSv1.3;

# Chiffres : uniquement AEAD avec Forward Secrecy
ssl_ciphers 'ECDHE+CHACHA20:ECDHE+AESGCM:DHE+CHACHA20:DHE+AESGCM:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK:!RSA:!SHA1';

# Le serveur décide de l’ordre des chiffres
ssl_prefer_server_ciphers on;

# Paramètres DH robustes
ssl_dhparam /etc/nginx/dhparam.pem;

# Courbes elliptiques
ssl_ecdh_curve X25519:secp384r1:secp256r1;

# Cache de session et timeout
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;

# Session tickets (désactivés pour PFS maximale)
ssl_session_tickets off;

# OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
resolver 127.0.0.1 valid=300s;
resolver_timeout 5s;

# HSTS
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;

Postfix (SMTP)

Dans le fichier /etc/postfix/main.cf :

# TLS pour connexions entrantes (smtpd)
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA, 3DES, SHA1
smtpd_tls_dh1024_param_file = /etc/postfix/dhparam.pem

# Préférence des chiffres du serveur
tls_preempt_cipherlist = yes

# TLS pour connexions sortantes (smtp)
smtp_tls_security_level = may
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA, 3DES, SHA1

# Logging
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

# Cache de sessions
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

Pour la submission (port 587) dans /etc/postfix/master.cf, vérifier que les options TLS sont héritées ou spécifiées.

Dovecot (IMAP/POP3)

Dans le fichier /etc/dovecot/conf.d/10-ssl.conf :

ssl = required

# Protocoles : seulement TLSv1.2 et TLSv1.3
ssl_min_protocol = TLSv1.2

# Chiffres : uniquement AEAD avec Forward Secrecy
ssl_cipher_list = ECDHE+CHACHA20:ECDHE+AESGCM:DHE+CHACHA20:DHE+AESGCM:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK:!RSA:!SHA1

# Pour TLSv1.3 (Dovecot 2.3.15+)
ssl_cipher_suites = TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

# Le serveur décide de l’ordre
ssl_prefer_server_ciphers = yes

# Courbes elliptiques
ssl_curve_list = X25519:secp384r1:secp256r1

# Paramètres DH
ssl_dh = </etc/dovecot/dhparam.pem

# Certificat et clé
ssl_cert = </etc/letsencrypt/live/esempio.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/esempio.com/privkey.pem

Vérification de la configuration

Après avoir appliqué les configurations, il est fondamental de les vérifier :

Tests locaux

# Vérification des protocoles supportés
openssl s_client -connect esempio.com:443 -tls1_2
openssl s_client -connect esempio.com:443 -tls1_3

# Vérification que TLSv1.0/1.1 sont rejetés
openssl s_client -connect esempio.com:443 -tls1   # doit échouer
openssl s_client -connect esempio.com:443 -tls1_1 # doit échouer

# Visualiser les chiffres négociés
openssl s_client -connect esempio.com:443 -cipher 'ECDHE+AESGCM'

# Test complet avec nmap
nmap --script ssl-enum-ciphers -p 443 esempio.com

Tests en ligne

Pour une analyse approfondie, des outils comme SSL Labs (pour HTTPS) ou testssl.sh fournissent des rapports détaillés sur la sécurité de la configuration TLS.

Considérations finales

La sécurité des communications chiffrées demande une attention constante :

Mises à jour régulières — Les bibliothèques cryptographiques (OpenSSL, LibreSSL, GnuTLS) reçoivent fréquemment des patches de sécurité. Maintenir le système à jour est essentiel.

Monitoring — Vérifier périodiquement les logs pour repérer les tentatives de connexion avec des protocoles ou des chiffres obsolètes.

Évolution des standards — Les best practices évoluent. Ce qui est sûr aujourd’hui peut ne plus l’être demain. Rester informé sur les nouvelles vulnérabilités et mettre à jour les configurations en conséquence.

Defense in depth — TLS n’est qu’une couche de la sécurité. Il ne remplace pas le pare-feu, l’IDS, le hardening du système d’exploitation, et d’autres mesures de protection.

La protection des données en transit n’est pas négociable. Avec les bonnes configurations, on peut garantir que les communications de nos utilisateurs restent confidentielles aujourd’hui et demain.

Dernière mise à jour : janvier 2026