N’oubliez pas vos clés !

Cet article a été écrit par Dr Stuart Clark et publié dans le magazine Innovations n°5.

Vous pensez sûrement que le chiffrement est la chasse gardée des espions et des gouvernements et on ne saurait vous le reprocher. Cela a en effet été le cas pendant de nombreuses années, mais ces temps-là sont révolus. Aujourd’hui, à l’heure où nous diffusons de plus en plus de données personnelles sur les réseaux en ligne, jamais le besoin de protéger ces données n’a été aussi grand.

 

« Par le passé, seules les personnes qui avaient l’autorisation d’accéder au matériel de transmission ultra sophistiqué de l’entreprise étaient susceptibles de s’adonner à l’espionnage. Il s’agissait donc de cas relativement isolés. Or, de nos jours, tout le monde peut transférer des données, explique Dietmar Hilke, directeur du Business Development et de la cybersécurité chez Thales en Allemagne. Je peux aller dans n’importe quel endroit équipé du wifi et essayer d’y capter des transmissions. Je peux par exemple y opérer des attaques du type ʺman in the middleʺ et recueillir ainsi des codes PIN, des données de cartes de crédit et des coordonnées bancaires, tout cela avec du matériel standard et des logiciels open source que l’on trouve sur internet. La menace a évolué : elle peut venir de quasiment tout le monde et pas seulement d’un petit groupe d’experts. »
 
Selon Dietmar Hilke, la numérisation de notre vie conduit à un changement dans ce qu'il appelle le vecteur de la menace. Par ailleurs, il n'y a pas que la transmission de données qui soit vulnérable : des logiciels malveillants sont utilisés pour recueillir de précieux renseignements sur les gens sans qu’ils s’en doutent. Le cloud est utilisé pour stocker de plus en plus de données sur des serveurs tiers : en d’autres termes, nous confions nos informations privées à des systèmes appartenant à d'autres personnes. Plus nous sommes connectés, plus nous devenons vulnérables.
« Sécuriser l’information lors de la transmission ne suffit plus. Les interactions sociales en ligne se font de plus en plus nombreuses, nécessitant de faire appel à un chiffrement de bout en bout », constate Dietmar Hilke.
Le chiffrement consiste à prendre de l’information, au format texte clair, et de la rendre inintelligible à l'aide d'une clé. Un algorithme de chiffré et une « clé » ou information secrète sont généralement utilisés. Les pirates peuvent se procurer le texte chiffré, voire même connaître la méthode de chiffrement utilisée, mais, sans la clé, il leur sera impossible de briser le code et de lire le texte en clair.
 
C’est, mathématiquement parlant, la même chose que de cacher un message dans une boîte fermée à clé. La difficulté reste de sécuriser la transmission de la clé. Eric Garrido, responsable de l’équipe de chiffrement chez Thales Communications & Security est spécialiste de la conception et de l’évaluation des systèmes de chiffrement.
« Disposer d’une bonne solution mathématique, c’est une chose. La mettre en œuvre de manière sécurisée, c’en est une autre », explique Eric Garrido. « Un mauvais matériel ou un mauvais logiciel, c’est comme fermer la porte à clé en laissant la fenêtre ouverte. »
La télévision payante constitue un cas d'espèce : les radiodiffuseurs envoient du contenu chiffré aux abonnés et leur communiquent des clés individuelles pour pouvoir le déchiffrer. L'émission diffusée est la même, mais chaque clé est différente. Cette technologie est née au début des années 1990, mais nécessite aujourd’hui d’être modernisée, ce qui a notamment fait l'objet d'une collaboration récente entre Thales et l’entreprise suisse de médias numériques Nagra.
 
« Tous les anciens protocoles étaient trop théoriques pour pouvoir fonctionner efficacement dans la pratique. Le but était donc de combler l’écart pour leur donner une réalité pratique », explique David Pointcheval, responsable de l’équipe de chiffrement à l'École normale supérieure de Paris, qui a participé à cette collaboration.
 
Le coût de développement des matériels et des logiciels est le principal obstacle à la conception de systèmes de déchiffrment efficaces dans la pratique. Par exemple, le décodeur nécessaire au déchiffrement de la télévision payante doit être à la fois simple et peu coûteux à produire. La qualité du décodage mathématique risque donc d’en souffrir, rendant ces systèmes plus faciles à pirater par les non abonnés.
 
Par ailleurs, plus un système s’étend plus il devient la cible des hackers. De nombreux sites web et applications se vantent de pouvoir pirater des sites de réseaux sociaux tels que Facebook, Twitter et Instagram, mettant notre vie privée en danger.
 
Il y a également une escalade dans le piratage des cibles militaires et gouvernementales. Par exemple, le 12 janvier 2015, les comptes de médias sociaux du commandement militaire américain ont fait l’objet d’une attaque de la part d’islamistes présumés. Même s’il est clair que le compte Twitter de l'armée américaine est loin d’être aussi chiffré que ses serveurs classifiés, des failles de cette nature restent inquiétantes.
« Si je peux voler des informations, je peux aussi les manipuler et occasionner de réels dommages physiques aux systèmes », affirme Dietmar Hilke.
En 2010, on a mis à jour le programme Stuxnet. Celui-ci s’attaquait à des contrôleurs logiques programmables (PLC) bien précis servant à piloter les paramètres de fonctionnement de certains systèmes industriels. Le but était de saboter ces systèmes en introduisant des commandes aléatoires dans les machines sans que rien, en apparence, ne le laisse supposer. Les contrôleurs visés étaient utilisés dans les centrifugeuses nucléaires iraniennes. Selon les informations communiquées, le virus aurait provoqué l’arrêt d’un cinquième d’entre elles en les faisant tourner à une vitesse supérieure à la limite prévue. Selon Dietmar Hilke, cette attaque n’était qu’un avant-goût de ce qui nous attend.
 
« Imaginez une attaque visant un navire de guerre. S’il y a très peu de chance d’atteindre le système ultra sécurisé de commande des armes, il est en revanche possible d’entrer dans le système de régulation du moteur et de prendre ainsi les commandes des turbines pour les détruire. Réfléchissez à l’investissement nécessaire pour causer un tel dommage à un navire et demandez-vous ce qu’il en serait pour un missile navire/navire », poursuit Hilke.
 
La comparaison a de quoi effrayer. Dietmar Hilke estime que, pour le prix d'un char blindé, jusqu'à un millier de personnes par an pourraient être utilisées pour mener des cyber-attaques contre des systèmes.
 
« On passe-là de la sphère abstraite du simple vol d’informations à celle, beaucoup plus concrète, des dommages réels », remarque-t-il.

Le chiffrement

L’étude 2015 sur les tendances mondiales en termes de chiffrement et de gestion des clés, basée sur une recherche indépendante menée par le cabinet américain Ponemon et parrainée par Thales, a révélé que le recours au chiffrement ne cesse de croître en réponse aux préoccupations des consommateurs, aux règlementations sur le respect de la vie privée et aux cyberattaques actuelles. Selon l'enquête, qui a porté sur plus de 4 700 entreprises et responsables informatiques aux États-Unis, au Royaume-Uni, en Allemagne, en France, en Australie, au Japon, au Brésil, en Russie, en Inde et au Mexique :
34%
font un usage intensif du chiffrement
36%
ont une stratégie de chiffrement à l’échelle de l'entreprise
1/2
pensent que l'utilisation du chiffrement dispense de signaler les violations constatées
+1/2
identifient la gestion des clés comme une pierre d’achoppement, l’entreprise n’étant pas propriétaire des clés, les systèmes étant fragmentés et les outils inadéquats
+1/2
considèrent les modules de sécurité matérielle comme un élément important de la stratégie de gestion des clés
N°1
Les erreurs des employés, plus que les attaques extérieures, sont perçues comme la principale menace pour les données sensibles
Las 3
principales raisons qui poussent au déploiement du chiffrement sont : le respect des obligations de protection des données, la nécessité de faire face à des menaces spécifiques et la réduction des contraintes liées aux audits de conformité

Normes de sécurité

Le chiffrement revêt une importance plus cruciale que jamais et la donne ne cesse de changer. La norme suprême actuelle en matière de chiffrement est la norme RSA. Nommée d’après les initiales de ses inventeurs (Ron Rivest, Adi Shamir et Leonard Adleman), tous trois universitaires du MIT, cette norme, créée en 1977, peut être décrite en faisant l’analogie suivante : une personne envoie un coffre-fort ouvert à une autre personne pour qu’elle y dépose un message chiffré. La personne ayant envoyé le coffre-fort est la seule à posséder la clé qui permet de l’ouvrir et de lire le message qu’il contient.
 
L'algorithme RSA repose sur l’utilisation de deux grands nombres premiers qui, multipliés l’un par l’autre, permettent d’obtenir un nombre encore plus grand. Factoriser le résultat est facile si vous possédez la clé, mais quasiment impossible si vous ne l’avez pas.
 
« À l’heure actuelle, on n’arrive pas à factoriser des nombres composés de plus de 600 chiffres. Même avec des ordinateurs ultra puissants, cela prendrait des dizaines d’années », souligne David Pointcheval.
Est-ce là la solution ? Nos données sont-elles totalement sécurisées avec ce système ?
 
Malheureusement, non. Même si factoriser un si grand nombre est pour le moment quasiment impossible, les scientifiques et les ingénieurs travaillent actuellement à la construction d’ordinateurs quantiques capables de réaliser des calculs d’une façon fondamentalement différente.
 
« Si on arrive à mettre au point un ordinateur quantique dans les prochaines années, alors toutes les clés pourront être brisées », affirme David Pointcheval. C’est pourquoi Thales travaille sur de nouvelles méthodes de chiffrement que même les ordinateurs quantiques auraient du mal à décoder, voire seraient incapables de le faire.
 
Un autre objectif est de développer ce que l’on appelle un « chiffrement pleinement homomorphique », ce que Dietmar Hilke entend par chiffrement de bout en bout. Ce type de chiffrement permettrait de garantir la confidentialité en conservant les données chiffrées même lorsque celles-ci sont traitées par un serveur à distance. Selon David Pointcheval, c’est exactement la solution qui conviendrait pour sécuriser le cloud computing.
 
À l'heure actuelle, même lorsqu’on chiffre des données en vue de leur transmission, celles-ci doivent être déchiffrées avant de pouvoir être évaluées. Ainsi, à chaque fois que l’on revient au format texte clair, les données deviennent vulnérables. Suite à l’affaire Snowden, qui a permis de prendre la mesure du degré d’intrusion de certaines agences gouvernementales dans les données personnelles, la question du respect de la vie privée s’est imposée comme une priorité pour les entreprises de médias numériques. Dans ce contexte, le chiffrement homomorphique fait figure de Saint Graal.
 
« Un système homomorphique permet de réaliser divers traitements sur les données chiffrées sans recourir à l’opération de déchiffrement. Par exemple, vous envoyez des données chiffrées sur le cloud. Tous les calculs que vous souhaitez faire sont réalisés sur les données chiffrées et le résultat vous est communiqué lui aussi sous forme chiffrée. Dans la mesure où vous êtes le seul à posséder la clé, vous êtes le seul à pouvoir lire le résultat. Le cloud, lui, ne voit jamais les données non chiffrées ni le résultat. Ça paraît incroyable mais, avec une telle fonctionnalité, vous pourriez même faire une recherche sur Google sans que Google ne sache ce que vous recherchez. Vous pourriez obtenir des réponses sans que la personne que vous interrogez ne sache ce que vous cherchez », dit David Pointcheval.
 
Le jour où ces systèmes seront au point, ce qui signifie que les internautes pourront faire tout ce qu’ils veulent sous couvert d’anonymat, se posera inévitablement la question de la nécessité pour les organismes de sécurité nationale de pouvoir intercepter des communications pour garantir notre sécurité. Au fil du temps, une chose est sûre, le chiffrement va revêtir un aspect crucial pour tout le monde.

De l’importance de la cybersécurité