Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Netflix s'emploie à rehausser le niveau de sécurité de son service en passant au TLS 1.3
Et constate que les vidéos peuvent se lancer jusqu'à 8,2 % plus vite

Le , par Stéphane le calme

78PARTAGES

7  0 
Approuvé en mars 2018 par l'IETF (Internet Engineering Task Force), l'un des organismes d'élaboration des standards Internet, la version 1.3 de TLS a officiellement été publiée en août de la même année. Comme son prédécesseur SSL (Secure Sockets Layer), TLS (Transport Layer Security) est un protocole de sécurisation des échanges sur Internet. Il fonctionne suivant un mode client-serveur et permet de satisfaire à un certain nombre d'objectifs de sécurité. Parmi ceux-ci, on note l'authentification du serveur, la confidentialité des données échangées (ou session chiffrée) et l'intégrité des données échangées. De manière optionnelle, il permet aussi l'authentification du client, même si dans la réalité celle-ci est souvent assurée par le serveur.

TLS est donc une norme Internet utilisée pour empêcher l'espionnage et la falsification de messages pour diverses applications Internet et c'est probablement le standard de sécurité réseau le plus largement déployé au monde.

En cours de développement pendant quatre ans, la version 1.3 est annoncée comme une refonte du protocole TLS. Elle résout les problèmes connus des versions précédentes et améliore la sécurité et les performances. D’ailleurs, concernant ce dernier point, TLS 1.3 procède à un nombre limité d’échange entre le serveur et le client. En effet, le nombre d’aller-retour entre le serveur et le client est un facteur limitant les performances du protocole. De base, l'établissement de la connexion de TLS 1.3 prend un aller-retour (contre deux dans TLS 1.2).

TLS 1.3 inclut également une option appelée 0-RTT (zéro aller-retour), qui permet de reprendre une connexion récemment utilisée sans renégocier le chiffrement. Ainsi, lors de la toute première connexion d’un client vers le serveur, il y a négociation complète. Le client garde alors en cache un message, Server Config (SCFG). Toutes les connexions ultérieures l’utiliseront pour obtenir des clés dérivées et ainsi commencer immédiatement à échanger des données. Le client peut ainsi envoyer des données au serveur dans son premier jeu de paquets réseau.


Quand des modifications sur l’emploi de la cryptographie sécurisent les liaisons, mais permettent de lancer des vidéos plus rapidement

Netflix a effectué récemment des derniers travaux qui lui ont permis de rehausser le niveau de sécurité de son service, mais aussi d’apporter des gains de performance à l’expérience de streaming. Dans un billet de blog, Sekwon Choi explique :

« Chez Netflix, nous avons à cœur de proposer les meilleures expériences de streaming. Nous voulons que la lecture démarre instantanément et ne s'arrête jamais de façon inattendue dans n'importe quel environnement réseau. Nous nous engageons également à protéger la confidentialité des utilisateurs et la sécurité des services sans sacrifier aucune partie de l'expérience de lecture.

« Pour y parvenir, nous utilisons efficacement ABR (streaming à débit adaptatif) pour une meilleure expérience de lecture, DRM (Digital Right Management) pour protéger notre service et TLS (Transport Layer Security) pour protéger la confidentialité des clients et créer une expérience de streaming plus sûre ».

Et d’évoquer un certain nombre de points forts de TLS 1.3 qui ont conduit Netflix à l’adopter. Il a par exemple parlé du fait que cette version raccourcit la phase de « négociations » qui permet d’établir la liaison la plus sûre possible entre les deux parties, tout en sécurisant davantage cette étape sensible.

Il a aussi parlé de la confidentialité persistante (Perfect Forward Secrecy). Cette propriété en cryptographie garantit que la découverte par un tiers d’une clé de session ne compromet pas du même coup la confidentialité des communications passées. Pour cela, PFS génère de nouvelles clés pour chaque session.

« Une chose que nous croyons très importante chez Netflix est la fourniture de PFS (Perfect Forward Secrecy). PFS est une fonctionnalité de l'algorithme d'échange de clés qui garantit que les clés de session ne seront pas compromises, même si la clé privée du serveur est compromise. En générant de nouvelles clés pour chaque session, PFS protège les sessions passées contre une compromission future des clés secrètes ».

Le PFS est certes déjà géré par TLS 1.2, mais la version 1.3 se montre plus rigoureuse encore puisqu’elle écarte tous les algorithmes d’échange de clés qui ne fournissent pas de PFS (tandis que TLS 1.2, qui date de 2008, autorisait ces algorithmes. Et Netflix de préciser que « même avec la version précédente de TLS 1.2, Netflix a toujours sélectionné un algorithme d'échange de clés qui fournit des PFS tels que ECDHE (Elliptic Curve Diffie Hellman Ephemeral) ».

L’impact sur les utilisateurs

Les travaux de Netflix sur sa sécurité informatique ont eu un aspect inattendu : dans ses essais, la plateforme américaine a constaté que le délai de lecture entre le moment où l’internaute clique sur une vidéo pour la lancer et le moment où celle-ci se lance effectivement est réduit avec ce protocole de sécurité, surtout lorsque les réseaux s’avèrent encombrés.

« Après avoir analysé la composition du protocole, nous nous doutions que TLS 1.3 nous apporterait une meilleure sécurité, mais nous ne savions pas comment il fonctionnerait dans le contexte du streaming.

« Étant donné que la fonctionnalité liée aux performances de TLS 1.3 est le mode 0-RTT avec la reprise du handshake, notre hypothèse était que TLS 1.3 réduirait le délai de lecture, car nous ne sommes plus tenus d'attendre la fin du handshake et nous pouvons plutôt émettre la requête HTTP pour les données multimédias et recevoir la réponse HTTP pour les données multimédias plus tôt ».

En fonction des cas de figure, les améliorations observées par Netflix vont de 3,5 à 8,2 %, pour les mesures les plus significatives.


Le délai de lancement d’une vidéo, selon la version du protocole de sécurité TLS utilisée

Ci-dessus, la première, en rouge, représente TLS 1.2. La seconde, en noire, est TLS 1.3. Plus l’une est proche de l’axe des abscisses (qui est ici la ligne du temps), meilleure elle est.

« D’après l’analyse de sécurité, nous sommes convaincus que TLS 1.3 améliore la sécurité des communications par rapport à TLS 1.2. D’après les retours du terrain, nous sommes convaincus que TLS 1.3 nous offre une meilleure expérience de streaming », conclut Netflix.

Quant au déploiement de TLS 1.3, il est en cours, d’abord sur des équipements récents. Aucun calendrier particulier n’est toutefois annoncé :

« Au moment de la rédaction de cet article, Internet connaît un trafic et une congestion plus élevés que d'habitude. Nous pensons que sauvegarder même de petites quantités de données et s’épargner de petits allers-retours peut être significatif, surtout si cela permet également une expérience de streaming plus sûre et plus efficace.

« Par conséquent, nous avons commencé à déployer TLS 1.3 sur les nouveaux appareils électroniques grand public et nous nous attendons à ce que davantage d'appareils soient déployés avec la capacité TLS 1.3 dans un avenir proche ».

Source : Netflix

Une erreur dans cette actualité ? Signalez-le nous !