Article mis en ligne le 16 octobre 2006
30 ans après les premiers travaux académiques sur la cryptologie asymétrique, le chiffrement reste, à ce jour, une pratique largement inconnue de l’utilisateur des systèmes d’information. Deux phénomènes peuvent cependant contribuer à faire décoller l’usage des technologies de chiffrement : les vols d’ordinateurs portables qui favorisent la diffusion incontrôlée de millions d’informations personnelles et les grands projets d’informatisation des dossiers patients.
* * *
1976 : Whitfield Diffie et Martin Hellman publient les premiers travaux publics sur les systèmes de cryptographie asymétrique à base de clés publiques et privées. 2006, Jacques Stern, grand spécialiste français de la cryptologie, auteur de « La science du secret » reçoit la médaille d’or du CNRS. En trente ans, la « crypto » ou plus exactement les technologies de chiffrement se sont répandues pour concerner l’ensemble des acteurs de la société (consommateurs, entreprises) au lieu d’être réservées, comme ce fût longtemps le cas, aux seuls militaires et diplomates.
La cryptologie asymétrique est à l’origine de la signature électronique, des certificats électroniques, des jetons d’horodatages, des infrastructure à gestion de clés, bref de tout ce que l’on regroupe désormais sous le vocable technologies ou services de confiance.
Pourtant, à l’exception du chiffrement des transferts, force est de constater que, pour l’utilisateur classique, le recours au chiffrement reste une pratique largement peu répandue. En forçant le trait, on pourrait soutenir que, au cours des dernières années, il y a eu plus de textes consacrés à la cryptologie que de contenus chiffrés dans les ordinateurs. Du coup, un utilisateur qui aurait aujourd’hui l’habitude de tout chiffrer pour assurer la confidentialité de ses communications serait sans doute plus facilement observé par les autorités du fait du caractère minoritaire de sa pratique.
Le casse tête de la conservation des clés
Réticences des organismes en charge de la sécurité publique devant une innovation susceptible de limiter fortement leurs capacité d’intervention, mauvaise perception par le public de la réelle portée des travaux de cryptanalyse (le cassage des codes secret), insuffisante prise de conscience par les entreprises de la réalité de l’espionnage industriel, enthousiasme excessif des crypto militants qui espéraient changer la société grâce à cette nouvelle technologie : biens des arguments peuvent être avancés pour expliquer la situation.
L’une des difficultés principales tient sans doute en un mot : qui dit chiffrement dit « clef ». La définition des bonnes pratiques pour la conservation d’une ou plusieurs clef(s) secrète(s) peut être une source de confusion supplémentaire pour les utilisateurs. Globalement deux cas de figure opposés sont envisageables. L’utilisateur conserve lui-même sa clé secrète (privée) ce qui permet d’envisager un haut niveau de sécurité. Il risque cependant de la perdre ou de l’oublier. Les informations chiffrées deviendraient alors inaccessibles ce qui n’est pas le meilleur moyen, on en conviendra, de protéger les données. On peut alors imaginer que l’utilisateur, dans un objectif de facilité d’usage confie à un prestataire de services de confiance la gestion de ses clés. Dès lors, le fait de conserver la clé de déchiffrement dans un espace de confiance sécurisé différent de celui propre au contenu chiffré serait une mesure de sécurité bien plus efficace que la seule conservation en clair.
L’actualité récente indique que l’usage des technologies de chiffrement devrait voir son un (re)décollage assurée en raison de deux phénomènes.
Les vols de portable au secours du chiffrement
Aux Etats-Unis, des vols d’ordinateurs portables favorisent la diffusion incontrôlée de millions d’informations personnelles. Ces cas sont largement médiatisés car, dans certains Etats des Etats-Unis, les organismes concernés ont l’obligation de prévenir les personnes que la sécurité de leurs données a pu être compromise, et ce même en l’absence de préjudice. A la lumière des affaires américaines, on remarquera que la personne à l’origine du problème est moins souvent un « méchant pirate » qu’un employé zélé qui ramène du travail – et beaucoup de données – à la maison le week-end au mépris des consignes de sécurité. On peut légitimement avancer que ce type de failles de sécurité est également fréquent dans un pays comme la France.
C’est dans ce contexte que les technologies de chiffrement apparaissent pour de nombreux observateurs comme une solution pour protéger les données qui se répandent dans la nature à la faveur de l’usage généralisé des ordinateurs portables, des terminaux intelligents ou des clés USB. A titre d’exemple, le département d’Etat américain aux anciens combattants a installé à l’automne 2006 des logiciels de chiffrement sur 15 000 de ses ordinateurs portables en réaction à la perte, très médiatisée, de 26,5 millions de dossiers personnels relatifs aux vétérans, suite à un vol de portable.
Par ailleurs, les grands projets d’informatisation des dossiers patients contribuent également à faire ressurgir le débat sur le chiffrement des bases de données, compte tenu du caractère très sensible des données de santé. Dans une communication de mai 2006 relative au Dossier Médical Personnel (DMP), la Cnil a estimé « nécessaire que les bases de données des hébergeurs fassent l’objet d’un chiffrement complet pour assurer de façon satisfaisante la confidentialité des données ». Là encore, le constat est le même : à l’heure de la généralisation des outils mobiles, la sécurité des bases d’information fondée sur le contrôle d’accès et le seul chiffrement des transmissions ne serait plus suffisante.
La crypto n’a peut-être plus vocation à rester encore très longtemps uniquement un thème de colloque et séminaire.
Arnaud Belleil
A lire aussi
