“Sécurité informatique : mythes et réalité”. Voici le colloque que le CNRS a organisé à Paris les 8 et 9 décembre dernier. 16 questions ont pu être abordées parmi différents thèmes : protection des données personnelles, vol de données, preuves de sécurité, cryptographie, ainsi que la sécurité des logiciels. C’est sur ce dernier volet que j’ai décidé de m’attarder, et plus particulièrement sur la suffisance du chiffrement des informations.

“Dans les protocoles de protection des données, même le plus robuste des chiffrements devient une ligne Maginot si les autres éléments du protocole sont faibles”.

Ce que nous décrit Stéphanie Delaune, informaticienne chargée de recherche au CNRS, montre que rien n’est parfait ni sans faille. Le chiffrement est nécessaire pour protéger nos données personnelles sans quoi notre vie serait lisible comme un grand livre ouvert.
Un protocole de protection des informations est composé de plusieurs briques, le chiffrement n’en est que l’élément de base. Si elles sont mal assemblées ensemble, le protocole devient vulnérable. Une carte bancaire aura beau avoir un chiffrement très robuste, si une faille existe sur le terminal de paiement comme celle découverte en 2010 par le chercheur Steven J. Murdoch, c’est tout le protocole de sécurité qui s’écroule !
Mi-janvier, l’application de messagerie Whatsapp a fait parler d’elle suite à la découverte d’une vulnérabilité de type « backdoor ». Le chiffrement de bout en bout, basé sur l’excellent protocole Signal, n’a malheureusement pas été suffisant. Les serveurs de Facebook, propriétaire de Whatsapp, permettraient de pouvoir lire les messages en attente de distribution sous certaines conditions. En tout état de cause, la sécurité ne peut être plus forte que le plus faible des liens.
Il est donc primordial de pouvoir garantir la disponibilité, la confidentialité, l’intégrité et la non perte d’information dans un protocole de sécurité. Le chiffrement est un pilier indispensable. Mais le protocole ne pourra délivrer une sécurité accrue que si sa conception a impérativement suivi les bonnes pratiques à mettre en oeuvre. Tel est le principal défi des sociétés pour l’avenir.

A propos de Stéphane MUTEAU