Le chiffrement de bout en bout : une nécessité de plus en plus impérieuse
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
De nombreuses sociétés ont implémenté le chiffrement de données afin de mieux se protéger contre les attaques et répondre aux régulateurs. Cependant, il subsiste deux questions fondamentales : où sont les clés de déchiffrement ? Où les données sont-elles déchiffrées ?
Les entreprises, petites ou grandes, se doivent de protéger les données de leurs employés, clients, fournisseurs, et les bases qui les hébergent. C’est même devenu un prérequis dans le RGPD en ce qui concerne les données sensibles, comme les données de santé par exemple. C’est ainsi que les entreprises ou institutions, majoritairement les plus grandes, ont utilisé le chiffrement des données ces dernières années. Avec l’objectif de les protéger, les rendre illisibles et inutilisables pour quiconque ne possédant pas les clés qui permettent de les déchiffrer.
Cependant, si les clés de déchiffrement sont hébergées sur la même infrastructure que les données et/ou que le chiffrement/déchiffrement des données interviennent côté serveur, alors ces données, voire les clés elles-mêmes, pourront être compromises en cas d’attaque et ainsi rendre le chiffrement obsolète.
Le chiffrement de bout en bout apporte une solution concrète à cet enjeu. Il est apparu au grand jour lors du lancement de messageries instantanées comme WhatsApp ou Signal. Ces applications ont garanti que les conversations que nous aurons avec nos interlocuteurs seront chiffrées depuis notre appareil jusqu’aux leurs et vice versa, d’où le terme bout en bout.
Aucune donnée ne circule en clair sur le réseau Internet. Aucune donnée n’est sauvegardée en clair sur les serveurs et seuls les utilisateurs peuvent déchiffrer leurs conversations car les clés sont locales et spécifiques à chaque appareil. Au-delà des applications de messagerie instantanée, cette solution de chiffrement de bout en bout offre les meilleures garanties de sécurité, d’autant plus si les clés ne sont pas connues des entreprises.
Ainsi, sur le réseau, dans les bases de données des entreprises et de partenaires éventuels, les données sont chiffrées et illisibles. Et surtout, ce chiffrement de bout en bout s’appuie sur les notions de « Zero Knowledge » et « Zero Trust ». Ce qui signifie que les sociétés ou le fournisseur de solution de chiffrement de bout en bout ne peuvent déchiffrer les données car ils n’ont pas les clés ; et a fortiori encore moins les pirates informatiques en cas d’attaque.
C’est un niveau de sécurité maximal pour toute société devant gérer des données potentiellement sensibles. Et cette tendance, qui s’inscrit dans de plus en plus de solutions applicatives, devra s’étendre aux objets connectés qui sont de plus en plus nombreux à manipuler des données et ouvrir les portes vers d’autres informations.
Un enjeu de complexité et un dilemme
En premier lieu, le chiffrement et le déchiffrement ne sont pas des opérations triviales, loin de là. Ce sont des opérations très complexes qui, pour être efficaces et garantir une sécurité optimale, requièrent une expertise avancée, un process très rigoureux et vont être consommatrices de ressources machines. Elles peuvent ainsi entraîner une dégradation des performances côté utilisateur et altérer les bénéfices des services.
Aussi, à partir du moment où les données sont chiffrées alors les opérations que l’on peut effectuer sur celles-ci sont très limitées. Et comme la donnée est nécessaire pour l’amélioration des services, les sociétés font donc face à un dilemme : celui de la performance et d’une meilleure expérience client ou celui de la sécurité.
En second lieu, si vous avez besoin de faire des traitements complexes sur un grand volume de données avant de les présenter dans une application, vous êtes obligés de déchiffrer toutes les données nécessaires au traitement en mémoire côté serveur. Il s’agit de faire votre traitement puis d’envoyer le résultat vers les applications.
Ce qui sous-entend qu’un grand volume de données vont se retrouver d’emblée déchiffrées en mémoire ou dans des fichiers pour effectuer ces opérations complexes. Ce qui peut potentiellement poser des problèmes de surface d’attaque, mais aussi des enjeux si certaines de ces données doivent rester anonymes afin de respecter le RGPD, par exemple.
Le chiffrement homomorphique comme solution
Pour répondre à ces derniers points, des progrès récents dans le chiffrement et les algorithmes associés permettent d’entrevoir des solutions résolvant ces enjeux de performances et de traitements complexes : le chiffrement homomorphique. Cette solution est restée au stade théorique jusqu’à ce que des sociétés technologiques développent des solutions répondant aujourd’hui à ces enjeux.
Il faut par conséquent imaginer qu’il est possible d’effectuer des traitements complexes sur de larges volumes de données chiffrées sans avoir à les déchiffrer et avec un niveau de performance acceptable. C’est aujourd’hui possible à partir de requêtes chiffrées elles-mêmes, dont les résultats obtenus seront chiffrés et ne seront déchiffrés que sur les applications clientes qui ont besoin de les visualiser ou utiliser. Une protection maximale sans contrainte de traitements.
Mais, car il y a toujours un « mais » en cybersécurité, tout cela ne sera et restera valide que si nous trouvons des solutions aux futures capacités des ordinateurs quantiques. Ces derniers pourront réduire à quelques minutes le déchiffrement de données sans avoir les clés.