Les 8 avantages que vous devez connaître sur le chiffrement de bout-en-bout.
Décryptons ensemble les 8 avantages du chiffrement de bout-en-bout et découvrez pourquoi cette technologie est devenue un game changer pour les applications qui collectent des données sensibles.
Mais avant de se plonger dans les 8 avantages que procure le chiffrement de bout-en-bout, il est nécessaire de comprendre le problème auquel cette technologie peut répondre 🧐.
Prenons l’exemple d’une application de messagerie “classique” non chiffrée de bout-en-bout :
Lors de la transmission d’un message, l’expéditeur va envoyer son message au serveur de l’application, et ce serveur va ensuite le retransmettre au destinataire qui pourra le lire. Dans ce modèle très courant, du chiffrement est utilisé entre l’expéditeur et le serveur, puis entre le serveur et le destinataire (du TLS), mais le serveur qui ne fait rien de plus que relai peut techniquement tout lire 👀.
Ainsi, si un administrateur système (qui a accès aux serveurs) était malveillant ou piraté, ou que l’application avait une faille permettant à un attaquant de prendre le contrôle du serveur, il y aurait une fuite de données potentiellement massive.
L’objectif du chiffrement de bout-en-bout est précisément de résoudre ce problème à la racine en ne laissant pas cette capacité au serveur de tout lire entre expéditeurs et destinataires : le message reste chiffré depuis d’un bout (l’expéditeur) à l’autre (le destinataire), sans jamais être déchiffré entre les deux points, d’où son nom 🔒.
La plupart des applications de messagerie ont intégré cette technologie pour assurer ce plus haut niveau de confidentialité sur les messages, comme Signal, iMessage, Whatsapp, Telegram (pas par défaut).
Avantage 1 : une confidentialité accrue
Le chiffrement de bout-en-bout est une méthode de sécurisation de l'information où seuls l'expéditeur et le destinataire de la communication sont capables de déchiffrer et d'accéder au contenu des données.
En d'autres termes, les données sont chiffrées sur l'appareil de l'expéditeur et ne sont déchiffrées qu'une fois arrivées sur l'appareil du destinataire.
Pendant le transit, que ce soit sur les serveurs intermédiaires, les réseaux ou tout autre point de passage, les données restent chiffrées et est donc inaccessibles aux tiers, y compris aux fournisseurs de services qui facilitent la transmission du message.
En 2022, Elon musk parlait d’intégrer du chiffrement de bout-en-bout dans la messagerie de Twitter. Il avait d’ailleurs affirmé : “Je ne devrais pas pouvoir consulter les messages privés de qui que ce soit, même si quelqu'un me mettait un pistolet sur la tempe” 😅🔫 ou encore "Les messages privés de Twitter devraient être chiffrés de bout-en-bout comme sur Signal, afin que personne ne puisse espionner ou pirater vos messages".
Avantage 2 : une protection contre les fuites de données
Dans le cas où un serveur contenant des données chiffrées de bout-en-bout est compromis, ces données resteraient inexploitables pour l’attaquant.
C'est probablement la raison majeure poussant les entreprises à adopter le chiffrement de bout-en-bout : se prémunir des fuites de données. Il est essentiel de comprendre que si une personne malveillante arrive à s’introduire dans un serveur, ne contenant que des données chiffrées, techniquement aucune donnée n'est exfiltrée si on peut garantir que la clé n'est pas volée avec. Cela n'engendre donc pas de notification de fuite aux personnes concernées du point de vue du RGPD. L’intrusion n’ayant eu aucun impact, c’est comme si rien n’était arrivé 💪.
Aujourd’hui des entreprises comme Recare ont intégré du chiffrement de bout-en-bout, pour garantir que seuls les professionnels de santé puissent accéder aux données (pas même Recare ou son hébergeur), mais aussi empêcher les données d'êtres volées même en cas d’intrusion dans les serveurs de Recare.
Avantage 3 : une réduction des risques d'espionnage
Le chiffrement de bout-en-bout empêche les acteurs malveillants, les gouvernements et même les fournisseurs de services de surveiller ou d'accéder aux communications.
Cela semble évident à première vue, mais si une solution ne peut accéder aux données de ses utilisateurs, elle ne peut rien transmettre à personne. Big brother can't watch you 👀.
Sur ce point, il est important de souligner que le CLOUD Act, instauré en 2018, amende le Stored Communications Act pour qu'il s'applique au-delà des frontières américaines.
De ce fait, les tribunaux américains ont le droit d'ordonner aux prestataires de Cloud Americains (même si les données sont stockées à l'étranger, comme en France) de leur fournir l'intégralité des données d'une personne, sans solliciter l'approbation judiciaire du pays où l'individu ou les données se trouvent.
En clair, si des données sont stockées sur des serveurs tels qu'AWS ou GCP, les États-Unis peuvent légalement y accéder, même si les serveurs sont physiquement en France.
L'ajout du chiffrement de bout-en-bout à une solution utilisant des serveurs américains rendrait les données sur ces serveurs inaccessibles, évitant ainsi toute surveillance ❌.
C'est d'ailleurs un des mécanismes de sécurité complémentaires recommandé par l'European Data Protection Board pour sous-traiter des données aux États-Unis (la CNIL européenne) quand le Privacy Shield avait été invalidé.
Avantage 4 : l’intégrité des données
Le chiffrement de bout-en-bout garantit que les données n'ont pas été altérées pendant le transfert, car toute modification des données chiffrées rendrait le message indéchiffrable.
Cependant… attention !
Nous avons observé plusieurs erreurs courantes commises par des développeurs lors de l'intégration du chiffrement de bout-en-bout, mettant en péril l'intégrité de l'information 🔓.
Il s'agit par exemple de l'utilisation de l'AES-CBC sans HMAC-SHA256. Si cela vous parle, vous pouvez consultez notre article : "Les 3 erreurs courantes quand on implémente du chiffrement de bout-en-bout".
Avantage 5 : une protection contre les demandes gouvernementales
Aux États-Unis, depuis le 24 juin 2022, la Cour Suprême a révoqué le droit constitutionnel des femmes américaines à avorter. Cela a permis à chaque état de définir sa législation en la matière, et c’est donc une dizaine d’Etats (dont le Nebraska) qui ont interdit l’avortement. Concrètement, une femme qui avorte peut désormais être poursuivie pour meurtre 🤬.
En 2022, dans le Nebraska, une fille échange avec sa mère sur Messenger sur la façon de mettre fin à sa grossesse non désirée. À ce moment-là, il n’y a pas de chiffrement de bout-en-bout dans Messenger.
La mère parvient à se procurer des pilules abortives en les achetant sur le Web et les donne à sa fille pour qu’elle mette fin à sa grossesse non désirée.
Un signalement à la police plus tard…. Meta (l’entreprise qui développe Messenger) reçoit un mandat des forces de l’ordre demandant des données que la plateforme possédait sur la mère et sa fille. Meta n’ayant pas le choix a dû donner les échanges en question.
Avec du chiffrement de bout-en-bout, Meta n’aurait pas pu fournir les données de Messenger au gouvernement, car elle-même n’aurait pas eu le moyen d’accéder aux données 👌. Meta a bien compris l’importance de cette technologie, en annonçant que Messenger sera bientôt chiffré de bout-en-bout par défaut.
Avantage 6 : une confiance accrue des utilisateurs
Savoir que ses données sont vraiment sécurisées grâce au chiffrement de bout-en-bout, renforce la confiance des utilisateurs dans un service ou une application.
En juin 2020, Doctolib a intégré du chiffrement de bout-en-bout pour sécuriser les documents partagés entre les médecins et leurs patients. Ainsi, Doctolib ne peut en aucun cas accéder aux informations sensibles de ses utilisateurs. Cette initiative renforce la confiance des utilisateurs, sachant que leurs données médicales ne sont partagées qu'entre leur médecin et eux-mêmes. Le serment d'Hippocrate est bien gardé 👩⚕️🤫.
Avantage 7 : améliorer sa mise en conformité
Un nombre croissant de règlementations imposent ou recommandent du chiffrement de bout-en-bout.
Le RGPD impose une protection accrue des données à caractère personnel notamment par du chiffrement à l'état de l'art et une minimisation des données stockées. Selon certaines interprétations de DPO, cela constitue une obligation d'implémenter du chiffrement de bout-en-bout dans certains cas ⚠️. Ce pré-requis est donc de plus en plus présent dans des appels d'offre notamment dans le domaine médical : en Allemagne pour des logiciels de gestion de lits d'aval pour les hopitaux, en Belgique pour des logiciels de téléconsultation ou en France pour des cabines de téléconsultations par exemple.
On peut également citer l'ITAR qui s'applique à tous les sous-traitants de l'armée américaine (ce qui recouvre énormément d'entrprises dans le monde) qui permet d'utiliser du Cloud sur des données sensibles dès lors qu'elles sont chiffrées de bout-en-bout (§ 120.54 (a) (5) (ii)).
Enfin, on peut citer NIS2 qui va rentrer en vigueur au deuxième semestre 2024 et qui s'appliquera à toutes les entités critiques européennes et leurs sous-traitants et qui stipule dans son considérant 98:
"L’utilisation du chiffrement, notamment du chiffrement de bout en bout, devrait si nécessaire être imposée aux fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de la présente directive"
Avantage 8 : le droit à la vie privée
Dans un monde où nos communications peuvent être surveillées ou interceptées, le chiffrement de bout-en-bout garantit que nos conversations confidentielles demeurent réellement confidentielles.
Face à la mention de l'importance du chiffrement, nombreux sont ceux qui rétorquent : "Pourquoi en aurais-je besoin ? Je n'ai rien à cacher !"
Cette réaction suggère que seules les personnes cachant des choses ou menant des activités illicites pourraient avoir besoin du chiffrement. Est-ce vraiment le bon raisonnement ? 🕵️♂️
Posez donc à ces mêmes personnes la question de vous confier leur code de carte bleue, de leurs identifiants en ligne, de leur historique médical et vous verrez qu'elles saisiront soudainement la valeur du chiffrement comme garant de leur vie privée.
“Prétendre que votre droit à une sphère privée n’est pas important parce que vous n’avez rien à cacher n’est rien d’autre que de dire que la liberté d’expression n’est pas essentielle, car vous n’avez rien à dire.” Edward Snowden