publié

édité par: Alexis Chassagne

« Par moments un nuage […] brouille le fond du paysage »(André Gide, Journal , 1909)

Le processus de sécurisation du cloud consiste à garantir la confidentialité, l'intégrité, l'authenticité et la disponibilité des données personnelles. L'évolution et la normalisation des technologies de cryptage nous permet de répondre à ces différentes problématiques avec des algorithmes et des protocoles plus performants. Cependant, il nous faut nuancer car la sécurité absolue n'existe pas. Si le Cloud facilite et encourage le stockage de données massives, il peut tout de même y avoir un danger, celui du vol de ces données entre autres.

serrureL'homme a toujours ressenti le besoin de préserver ses informations personnelles, bien avant même l'apparition des premiers ordinateurs et de machines à calculer. Depuis sa création, le réseau Internet a tellement évolué qu'il est devenu un outil essentiel de communication. Dès lors, cette communication soulève des enjeux stratégiques liés aux entreprises sur le Web et au e-commerce. Les transactions faites à travers le réseau peuvent être interceptées. Il faut donc garantir la sécurité de ces informations, c'est la cryptographie qui s'en charge. Le but du cryptage est de dissimuler l'information, de l'authentifier ou la conserver ou la protéger.

La première utilité consiste à dissimuler une information secrète dont on ne veut partager le contenu qu'avec le destinataire. Deuxièmement, comme il n'y a que le destinataire et l'émetteur qui ont connaissance du code, les deux individus sont certains de correspondre l'un avec l'autre. C’est là l'origine des échanges bancaires. Troisièmement, le cryptage permet d’empêcher le piratage informatique ainsi que le dysfonctionnement du système qui pourrait détruire un document sur le disque dur. C'est une signature qui valide le document tant que celui ci est inchangé par rapport à la signature.

La cryptographie est utilisée la plupart du temps pour dissimuler des messages. Cette utilisation a un intérêt encore plus grand de nos jours car les communications circulent via Internet dans des infrastructures dont on ne peut garantir ni la fiabilité, ni la confidentialité. Désormais la cryptographie, en plus de préserver une certaine confidentialité des données, garantit leur authenticité et leur intégrité. Nous nous intéresserons plus particulièrement à la cryptographie homomorphe qui est présentée positivement quant à l'avenir de la protection des données par le biais du Cloud Computing. Cette cryptographie homomorphe est basée sur le concept de la cryptographie asymétrique ou plus communément appelée cryptographie à clé publique. Chaque interlocuteur possède deux clés :

Une clé publique, qu'il peut distribuer librement, sans risque. Les autres interlocuteurs du réseau peuvent, grâce à cette clé, chiffrer des messages à destination de l'interlocuteur original. Une clé privée, qu'il doit conserver précieusement. Il peut déchiffrer les messages que les autres interlocuteurs lui ont envoyés avec sa clé publique.

cyptage

Le cryptage homomorphe est alors une particularité qui peut s'appliquer à certains crypto-systèmes asymétriques, et qui permet à un tiers qui possède votre clé publique d'effectuer des calculs arbitraires sur des messages préalablement chiffrés. Il obtient en résultat de ces calculs de nouveaux messages, qui sont les résultats chiffrés des opérations. Par exemple, admettons qu'Alice possède deux nombres, 3 et 8. Elle aimerait connaître leur produit, mais ne possède pas la puissance de calcul nécessaire. Elle donne ces deux nombres à un supercalculateur, mais voilà, ce sont des informations capitales qui doivent être correctement protégées. La solution est le chiffrement homomorphe. Alice chiffre 3 et 8 avec sa clé publique, ce qui donne 1666 et 4406. Elle transmet ces deux nombres ainsi que sa clé publique à un data center. Ce dernier calcule le produit homomorphe de 1666 et 4406, ce qui donne 7340396. Il transmet 7340396 à Alice, qui le déchiffre avec sa clé privée : 24 !

Dans ce cas, on voit bien que le data center a réalisé une opération sur deux nombres qui n'avaient pour lui aucune signification.

Se confronte à nous à présent le codage des données. Il existe alors plusieurs façons de crypter son message tel que le chiffre de César, le cryptage affine ou encore le nombre de Hill. Dès lors nous verrons qu'il est facile de crypter ses informations mais quand il s'agit de décrypter certaines données, cela se complique. Le codage César est assez simple à crypter. Le principe est de remplacer chaque lettre de l'alphabet par celle qui est située trois rangs plus loin selon un système circulaire. Le A et le B correspondent ainsi respectivement à la lettre D et E et inversement pour les dernières lettres : le X est remplacé par A. Mais l'on peut choisir le nombre de ''décalages''. Sur l'image ci-contre, le décalage des lettres vaut 7. Dans ce cas, le décrypter est relativement simple puisqu'il suffit de remplacer les lettres du message codé par celles des trois rangs plus loin dans le sens opposé. Exemple: "Le codage césar est vraiment facile à crypter "devient avec une clé de cryptage de 7 : Sl jvkhnl jlzhy lza cyhptlua mhjpsl h jyfwaly.

Le chiffre affine est une variante du chiffre de César, très pratique à mettre en œuvre sur un ordinateur car il se réduit à des calculs sur des nombres entiers. On commence par remplacer chaque lettre par son ordre dans l'alphabet, auquel, pour des raisons techniques, on enlève 1 : A devient 0, B devient 1,..., Z devient 25. On choisit ensuite deux nombres entiers a et b qui sont la clé de chiffrement. Le nombre x est alors codé par y=ax+b. Ce nombre n'étant pas forcément compris entre 0 et 25, on prend son reste r dans la division par 26. Et ce nombre r est à son tour remplacé par la lettre qui lui correspond. Ainsi, dans le chiffre affine, une lettre est toujours remplacée par la même lettre : il s'agit bien d'un chiffrement par substitution mono-alphabétique.

De nombreux ordinateurs portables sont perdus ou bien volés chaque année dans le monde, ce qui peut avoir sur le plan financier des conséquences désastreuses. Toutefois, grâce au Cloud, les données restent toujours accessibles. Quatre ordinateurs sont perdus toutes les heures à l’aéroport Roissy-Charles-De-Gaulle. 21% de ces ordinateurs contiendraient des informations confidentielles selon leur détenteur. Cependant, seulement 7% seraient protégés par une méthode de cryptage. En effet, le moyen le plus facile à l’heure actuelle pour s’approprier des données privées reste le vol de l’ordinateur. Les aéroports où transitent tous les ans plusieurs centaines de millions d’ordinateurs sont les lieux idéaux pour les vols. Sur les quatre ordinateurs perdus par an, seule la moitié serait récupérée par les propriétaires.

SnowdenEdward Snowden, informaticien de la CIA et NSA, a révélé la captation de métadonnées (géolocalisation) et la surveillance sur Internet par le biais de wikileaks, qui récupère les fuites et assure normalement la protection des sources. Il a dû se réfugier dans un aéroport, accusé d’espionnage, de trahison et d’utilisation illégale de données gouvernementales. La Russie lui a donné l’asile temporaire. Ces révélations sur les pratiques d'espionnage sur Internet ont diminué considérablement la confiance des entreprises par rapport à la sécurité du Cloud, par crainte de perte de donnée personnelle sur ce format de stockage qu'elles ne connaissent pas encore très bien, comme le confirment de nombreux articles tel que celui de Carine Braun-Heneault, Directrice Générale Red Hat France, dans son article sur le site « Les Echos », quotidien économique, en disant que « de nombreuses et légitimes questions ralentissent l’adoption massive des solutions de Cloud par les TPE/PME. Mis à part sur ses aspects techniques, s’il est bien une interrogation récurrente concernant le Cloud, c’est le niveau de confiance qu’on peut lui accorder. [...] Il est nécessaire de passer à l’étape supérieure et de penser la sécurité en termes d’usage (d’utilisation) et de types des données. [...]Comment puis-je garder la maîtrise et le contrôle de mes données à tout moment ? Car si je maîtrise mes données, je suis à même d’en assurer la sécurité ». Le Figaro nous dévoile quant à lui que " pas une semaine ne se passe sans qu'un cabinet d'études ou un éditeur de logiciels de sécurité livre son analyse. La sécurité des données est la préoccupation majeure de l'informatique dans le nuage. «72% des entreprises qui ont répondu voient un risque grandissant à cause de menaces extérieures», souligne Ernst&Young dans son étude annuelle sur la sécurité, publiée fin novembre, intitulée « Le Cloud hors du brouillard."

Depuis, le contrat-cloud met en forme diverses angoisses. En effet, le client remet au prestataire une partie importante et sensible de son activité. Si celui-ci ne remplit pas ses fonctions, les conséquences sont préjudiciables :

  • Au niveau financier avec l'impossibilité de mener une affaire
  • Perte de données secrètes ou sensibles (tel que lors du piratage de Sony Pictures en fin 2014
  • Violation des données des particuliers (photos)

cadenasOr, les récents problèmes auxquels de nombreuses stars hollywoodiennes ont dû faire face tendent à dévoiler un certain attrait des cybercriminels pour ce type de Cloud. Même si les fournisseurs tentent d’assurer la sécurité grâce à leur « code prioritaire », leur travail est rendu d’autant plus complexe que le phénomène de cybercriminalité augmente. En fait, aucun code prioritaire à ce jour n'est inviolable, ce qui peut laisser penser que le Cloud n’est pas une alternative viable pour le stockage sécurisé des données de l'entreprise. Cependant, un système de code correctement développé cédera moins vite, ce qui nous apparait déjà être une grande avancée.