Le chiffrement de bout-en-bout : comment utiliser du Cloud en restant souverain
Popularisé en 2013 suite aux révélations d’E. Snowden, le chiffrement de bout-en-bout pâtit aujourd’hui de définitions parfois lacunaires. Doctolib, Zoom… La récente actualité nous permet de faire le point sur l’intérêt d’une adoption du chiffrement bout-en-bout et de mettre en lumière son utilité pour sécuriser les usages dans le Cloud.
Les événements récents mettent le chiffrement bout-en-bout sur le devant de la scène : Zoom a racheté Keybase pour proposer du chiffrement de bout-en-bout, Doctolib utilise désormais cette même technologie sur les données médicales, Les Assises de la Sécurité placent Olvid et Seald en finale de leur Prix de l'Innovation… Venant de leaders de leur catégorie, ces actions et positionnements ne sont plus des signaux faibles, mais bel et bien le signe d’un changement de paradigme. L’occasion donc de faire la lumière sur ce qui distingue le chiffrement vulgarisé du chiffrement bout-en-bout, et de s’intéresser à la souveraineté promise par cette technologie lorsqu’elle est appliquée à la puissance du Cloud.
“Chez moi tout est crypté”
Si la plupart des services offrent une forme de chiffrement, ils ne sont pas forcément « sécurisés » pour autant. Pour en avoir le cœur net, il est primordial de questionner la gestion des autorisations : qui peut gérer ou accéder aux clés de déchiffrement ? Plus la réponse est large ou indéterminée, moins la sécurité est fine.
La promesse « chez moi, tout est crypté » est donc souvent faite de façon abusive. Il ne faut pas se laisser leurrer par les hébergeurs Cloud eux-mêmes, tout chiffrement n'est pas du chiffrement de bout-en-bout. Beaucoup de fournisseurs jouent de ce flou et affirment que "c'est chiffré" sans autre forme de procès.
Aujourd'hui, tout utilise du chiffrement, mais cela ne protège pas de toutes les menaces : l’article que vous lisez actuellement, par exemple, est rendu accessible grâce à une connexion chiffrée, mais n’importe qui peut le lire (et c'est parfaitement normal)...
Alors, qu'est-ce que le vrai chiffrement de bout-en-bout ?
Le chiffrement de bout-en-bout intègre une notion forte et déterminante de gestion des autorisations de déchiffrement. Concrètement, il permet de protéger un message (texte ou fichier), en s'appuyant sur des algorithmes de chiffrement, adressé par une personne A à une personne B. Ce procédé s’assure qu'aucun intermédiaire (hébergeur, fournisseur de service ou gouvernement, etc.) n’est en mesure de lire ou de déchiffrer le contenu.
C’est pas nouveau...
Depuis 2013 et les révélations d'Edward Snowden sur l'espionnage de masse réalisé par les États-Unis, le chiffrement de bout-en-bout est graduellement déployé dans des applications de messagerie grand public : Signal et Telegram en 2014, WhatsApp en 2016, etc.
Son adoption dans le monde professionnel était cependant plus timide jusqu'il y a peu, alors même que des outils sont disponibles (S/MIME ou PGP par exemple).
De notre côté, nous avons créé Seald dans cette même dynamique, peu après que WhatsApp se soit lancé.
... mais le Covid-19 accélère l’adoption des usages
La crise du Covid-19 n'a fait que renforcer le besoin urgent pour les entreprises de devenir pleinement numériques. Permettant le maintien de l’activité dans des conditions dégradées, à distance, l’adoption de solutions de travail hébergées dans le Cloud, est devenue une question de survie.
Pourtant, au même moment, le débat sur la souveraineté des données, l’application du RGPD, la crainte du Cloud Act, la vendetta contre les GAFA, etc. connaissent un momentum. Certains parlent même de construire un Cloud souverain ! C'est pourtant une bataille que beaucoup diront perdue d'avance en Europe. AWS, Azure, Google Cloud ou même Office 365 et GSuite sont devenus des commodités, imbattables en termes de prix, utilisées à tous les niveaux, dans tous les types d’organisation. Si les utiliser revient à mettre la souveraineté de ses données en danger, ne pas le faire génère un handicap colossal.
Réconcilier l’inconciliable : associer Cloud et chiffrement bout-en-bout
Dans ces circonstances, le chiffrement de bout-en-bout présente des avantages majeurs. Il permet en effet de continuer à utiliser le meilleur fournisseur de Cloud en toute sécurité, et ce qu'il soit américain, chinois ou européen. Si les données que ce Cloud héberge sont chiffrées de bout-en-bout avec une technologie comme celle de Seald, il n'y a aucun risque de perte de souveraineté sur les données.
L'hébergeur ne dispose d’aucune autorisation et n’a par conséquent pas accès à la compréhension du contenu ! Adossé à une solution de chiffrement bout-en-bout, il n'y a donc plus de scrupule à stocker des données critiques sur AWS ou Azure en Cloud mutualisé.
Connus pour leur positionnement en matière de souveraineté des données, les États-Unis valident la pertinence d’une telle solution lorsque, ce mois-ci, le Sénat voit émerger une énième tentative d’interdiction du chiffrement bout-en-bout avec le projet de loi intitulé Lawful Access to Encrypted Data Act...
Si vous voulez en apprendre plus sur comment protéger vos données dans vos services hébergés en Cloud, contactez-nous !
Comment mettre en place du chiffrement de bout-en-bout ?
Le défi de mettre en place du chiffrement de bout-en-bout est dual : il faut que ce soit parfaitement robuste, et totalement transparent pour les utilisateurs finaux. Concilier ces deux expertises est une tâche difficile, et c'est notre positionnement chez Seald : proposer une protection de bout-en-bout, totalement transparente pour les utilisateurs, et adaptée à vos workflows métier.
Les premières étapes d'un tel projet sont de répondre à ces trois questions :
- Quels sont les éléments que l'on souhaite protéger ? Sachant que tout élément chiffré de bout-en-bout ne pourra plus faire l'objet d'opérations en backend comme de la recherche sur ces éléments.
- Qui devra y avoir accès ? Sachant qu'il faut prévoir des accès de secours par un administrateur pour récupérer des clés dans le cas de la perte ou compromission de clés.
- Sur quels terminaux, serveurs ou applications ces éléments sont-ils écrits et lus ? Il faut les chiffrer le plus tôt possible et les déchiffrer le plus tard possible. Déterminer d'où les éléments arrivent et jusqu'où ils vont est critique pour faire une protection la plus large possible.
Une fois ces questions balayées peut commencer le travail technique :
- choisir des primitives de cryptographie robustes — Seald utilise des algorithmes recommandés par le RGS de l'ANSSI ;
- mettre en place une gestion de clés pour chacun des destinataires — Seald fournit des mécanismes "clés"-en-main ;
- intégrer du chiffrement, déchiffrement et authentification à chaque opération dans chacun des terminaux, serveurs et applications — Seald propose des kits de développement intégrables dans tous les systèmes, y compris avec des AD / LDAP ;
- mettre en place des mécanismes de récupération pour éviter la perte de donnée — Seald propose un mécanisme de clé de sauvegarde très simple d'utilisation qui respecte le chiffrement de bout-en-bout ;
Pour vous éviter de faire toutes ces étapes vous-même, Seald peut vous accompagner avec des solutions clé en main ou sur-mesure de chiffrement de bout-en-bout dans vos applications et vos workflows.