Norme pour le cryptage
Pourquoi le "zero-knowledge" doit devenir le nouveau standard de cryptage. Un article d'Istvan Lam.
Les révélations sur l'étendue de la surveillance de la NSA ont entraîné ces dernières années un grand changement d'attitude vis-à-vis des médias numériques. Aujourd'hui, 92 % des Allemands s'inquiètent des la confidentialité de leurs données en ligne. Avec la numérisation croissante des entreprises, de plus en plus d'informations commerciales sensibles sont stockées sur les serveurs des fournisseurs de cloud. En cas de violation des données, les clients risquent d'engager des poursuites judiciaires, de lourdes pénalités contractuelles et l'espionnage industriel. Pourtant, ne chiffrent jusqu'à présent que 42 pour cent des entreprises ne chiffrent pas leurs données dans le nuage, bien que la majorité d'entre elles considèrent le chiffrement des données comme important. L'une des raisons de cette réticence dans la mise en œuvre pratique pourrait être l'incertitude quant au type de cryptage offrant la protection appropriée. Les mots clés "chiffrement de bout en bout" et "connaissance zéro" reviennent de plus en plus souvent dans ce contexte - mais que se cache-t-il derrière ces termes ?
L'industrie mise de plus en plus sur le cryptage
Il n'existe guère de chiffres transparents sur la fréquence des demandes de données par l'État et des attaques de pirates. Les piratages ne doivent pas obligatoirement être communiqués aux utilisateurs, en fonction de la situation juridique de chaque pays. Et les interventions de l'État ne peuvent pas toujours être communiquées aux utilisateurs concernés. Des services comme par exemple Twitter et Microsoft ont porté plainte contre le gouvernement américain à ce sujet. Entre-temps, l'industrie informatique réagit à la situation juridique compliquée en proposant un cryptage de bout en bout, même WhatsApp récemment et bientôt Facebook. Un pas dans la bonne direction, mais il faut aller plus loin pour garantir une protection optimale des données.
La méthode du savoir zéro
Le cryptage de bout en bout garantit que les fichiers ou les messages sont cryptés sur l'ordinateur ou le smartphone de l'utilisateur et n'atteignent le serveur que sous forme cryptée. Si un algorithme AES256 puissant est utilisé, un tel cryptage ne peut pas être cassé avec les capacités de calcul disponibles aujourd'hui. Parallèlement, de nombreux fournisseurs déposent une copie du mot de passe de cryptage sur les mêmes serveurs, ce qui facilite la maintenance de l'offre pour le fournisseur, mais peut se faire au détriment de la sécurité. Cet effort est comparable à l'investissement dans des serrures de sécurité coûteuses dans un hôtel, dans lequel une clé de rechange est toutefois toujours à disposition des collaborateurs à la réception. C'est là qu'intervient le "Zero-Knowledge". Si la procédure de bout en bout selon la norme Zero-Knowledge est pensée de manière conséquente, il n'y a pas de copie de clé, seul le client de l'hôtel ou l'utilisateur peut ouvrir la serrure. Le prestataire peut ainsi s'assurer que les erreurs des employés sont exclues et que les vols ne peuvent pas mettre en danger la vie privée du client. La difficulté pour les services en ligne est maintenant de transposer cet exemple pratique simple à des systèmes informatiques beaucoup plus complexes et de garantir ainsi le "zero-knowledge". Le client doit pouvoir se connecter au système sans que le prestataire chargé de la vérification ne connaisse son mot de passe. Pour ce faire, le mot de passe "privé" du client est mathématiquement lié au mot de passe "public" du vérificateur. Le mot de passe public peut être facilement généré à partir du mot de passe privé, mais pas l'inverse. De cette manière, le prestataire ne connaît pas le mot de passe privé de l'utilisateur et peut néanmoins vérifier l'autorisation d'utilisation. Le fournisseur de services a donc une "connaissance zéro" du mot de passe privé, ce qui complique aussi énormément l'accès de tiers à des informations confidentielles.
Deux fois valent mieux qu'une
Une telle procédure compliquée de connaissance zéro est particulièrement importante pour les secteurs qui ne peuvent pas se permettre de faire des erreurs en raison de la sensibilité de leurs données. Les prestataires de services financiers et de santé, les juristes, les journalistes et les organisations de défense des droits de l'homme, par exemple, ont une grande responsabilité en matière d'informations strictement confidentielles. Et les utilisateurs privés doivent également gérer leurs propres données en toute sécurité. Zero-Knowledge protège les données dès qu'elles quittent le terminal pour le cloud, mais les utilisateurs doivent quand même sécuriser leur mot de passe et leur appareil. Comme dans une voiture, où les airbags et les ceintures de sécurité sont nécessaires en plus du système ABS, les programmes antivirus, les mots de passe forts, la vérification en deux étapes et le cryptage du disque dur devraient être une évidence pour chaque utilisateur.
Conclusion
À l'ère du Big Data, les utilisateurs n'ont pratiquement plus de contrôle sur leurs propres données. Outre les publicitaires et les chercheurs, les pirates informatiques et la surveillance de masse puisent dans cet immense réservoir de données. Malgré le Privacy Shield et les progrès réalisés avec le règlement général sur la protection des données de l'UE, il est pour l'instant difficile de prévoir un droit de la protection des données uniforme au niveau international et orienté vers l'utilisateur. Le cryptage est donc le meilleur moyen de maîtriser techniquement dès maintenant cette situation compliquée et de rendre la souveraineté des données à l'utilisateur. Le "zero-knowledge" est la manière la plus cohérente de mettre cela en œuvre. La demande croissante de solutions "zero-knowledge" recèle donc un grand potentiel pour l'avenir de la sphère privée numérique.
Texte:Istvan Lam, CEO Tresorit
