2015/06/02 - SSL et les problèmes de validation de certificats dans les applications mobiles

2 juin 2015 - Conférence - François Gagnon

SSL et les problèmes de validation de certificats dans les applications mobiles

Marc-Antoine Fortier, Marc-Antoine Ferland, Simon Desloges et Jonathan Ouellet
Étudiants en informatique au Cégep Sainte-Foy
François Gagnon
Professeur-Chercheur au Laboratoire de recherche en cybersécurité du Cégep Ste-Foy

Description

Les protocoles SSL/TLS et les certificats X.509 sont des éléments essentiels de la sécurité sur internet. Jusqu’à “récemment”, la grande majorité des développeurs n’avaient à se soucier de cette composante que lors du déploiement de leur application: on met un certificat sur le serveur, et voilà! Mais aujourd’hui, c’est fort différent.

Pourquoi ? Les applications mobiles.

Dans un monde PC, la validation du côté client du certificat SSL renvoyé par le server se fait presque toujours par le navigateur web. Par contre, dans le monde mobile, chaque application doit elle-même faire la validation du certificat serveur pour éviter les “Man-in-the-middle”. Cependant, vérifier correctement un certificat SSL ne semble pas être une tâche simple.

Dans cette présentation, nous aborderons rapidement les grandes lignes de la mécanique de validation des certificats SSL. Par la suite, nous présenterons un prototype de laboratoire virtuel permettant de tester automatiquement si une application Android valide bien les certificats SSL qu’elle reçoit (ou si elle expose ses usagers à du vol d’information sensible par une attaque Man-in-the-middle). Finalement, nous terminerons avec les résultats préliminaires d’une étude sur la qualité des implémentations SSL dans les applications Android existantes.