Sécuriser les données même sans se fier aux opérateurs

Lorsqu’une application est utilisée, il faut accorder une partie de sa confiance à l’opérateur qui transporte les données associées. Gildas Avoine mise sur une cryptographie dite justement sans confiance pour sécuriser les usages, notamment l’utilisation des gestionnaires de mots de passe.

Utiliser un gestionnaire de mots de passe, une messagerie instantanée, un cloud… dans tous ces cas d’usage, il nous faut accorder notre confiance à l’opérateur qui réalise l’opération. Par exemple, un opérateur de messagerie instantanée – même quand la conversation est annoncée « chiffrée de bout en bout » – aura accès à ses métadonnées, en l’occurrence les personnes contactées, la fréquence des échanges, les relations professionnelles, etc.

« Aujourd’hui, les applications demandent de faire confiance à l’opérateur. Or la plupart de ces acteurs sont américains et leurs patrons prennent de plus en plus des positions politiques et philosophiques qui peuvent nous interroger », met en garde Gildas Avoine, chercheur en sécurité de l’information et cryptographie à l’INSA de Rennes.

Pour sécuriser ces usages, le chercheur veut poser les bases d’une cryptographie dite « sans confiance », où l’application propose les mêmes fonctionnalités sans que son utilisateur ait besoin de se fier à l’opérateur. Pour ce projet, il vient d’être nommé membre senior à l’Institut Universitaire de France et son premier objectif est de sécuriser les gestionnaires de mots de passe, qui peuvent représenter une faiblesse en termes de cybersécurité dans les entreprises.

Les gestionnaires de mots de passe les plus utilisés sont synchronisés, ce qui permet de se connecter à un compte même depuis une autre machine que celle sur laquelle on les a initialement créés. « Mais dans ce cas, vos mots de passe sont stockés de manière chiffrée dans le cloud chez l’opérateur. Lequel peut potentiellement y avoir accès », explique le chercheur. Déjà car certains opérateurs reçoivent les mots de passe en clair et ne les chiffrent qu’après. Ensuite parce même si le chiffrement se passe en amont – et que l’opérateur n’a jamais directement accès aux mots de passe – le risque demeure dans la mesure où il peut réussir à casser le mot de passe maître qui garde l’accès aux autres.
C’est d’autant plus vrai dans une entreprise : « À l’échelle individuelle, vous serez peut-être capable de trouver un mot de passe maître robuste. Mais à l’échelle d’une entreprise, il va peut-être y avoir 5% de mots de passe maîtres faibles. L’opérateur pourrait être en mesure de les casser, ce qui lui donne une porte d’accès au SI », détaille Gildas Avoine.

L’idée du chercheur est donc de renforcer la robustesse de l’accès au gestionnaire, non plus en utilisant un mot de passe maître, mais avec une clé cryptographique. Un paramètre impossible à casser, même pour un opérateur peu scrupuleux.

Le défi sur lequel il travaille actuellement reste la synchronisation – sans confiance – de cette clé pour accéder au gestionnaire sur un autre ordinateur. En attendant de pouvoir se fier à des applications « sans confiance », certaines bonnes pratiques peuvent être mises en place : questionner l’utilisation d’un gestionnaire de mots de passe, former les employés aux enjeux de cybersécurité ou prêter attention aux normes de sécurité de l’opérateur, à l’instar du référentiel SecNumCloud élaboré par l’Anssi pour les fournisseurs de cloud.

Du cloud computing sans confiance non plus

En parallèle de ces travaux, d’autres – à l’instar de l’informaticien américain Craig Gentry qui a notamment travaillé pour IBM, ou des entreprises comme Zava et Ravel Technologies – cherchent à sécuriser les usages du cloud computing, pour éviter que le provider qui met à disposition sa puissance de calcul, n’ait accès à ces calculs.
« La cryptographie homomorphe propose une voie pour faire ces calculs sans donner d’informations à l’opérateur. L’idée est de chiffrer les données avant de les envoyer vers le cloud pour que les calculs s’effectuent sur ces données chiffrées », détaille Gildas Avoine.
Basé sur une chaîne d’opérations mathématiques commutatives, ce type de chiffrement permet de réaliser un calcul sur une donnée même chiffrée, sans en impacter le résultat.

À LIRE AUSSI :

Secu

Et si la Chine avait déjà une machine quantique de déchiffrement des clés ?

Laurent Delattre

8 Avr

À LIRE AUSSI :

Newtech

Quantique : chiffrement, migration, hybridation… Où en est-on ?

Laurent Delattre

26 Fév

À LIRE AUSSI :

Secu

La Cryptographie : ce pilier essentiel mais négligé de la stratégie cyber

La rédaction

6 Août

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !