LA CRYPTOGRAPHIE, UNE SCIENCE DE CONFIANCE
État des lieux, enjeux et perspectives de la cryptographie dans l’univers grand public comme professionnel à l’aube 2022 !
À l’heure du tout numérique (ou presque), la sécurité des systèmes d’information de tout notre écosystème est garante de la confiance accordée aux technologies actuelles et à venir.
Chaque jour, au travers de l’utilisation de notre messagerie électronique, des plateformes e-commerce, des procédures en ligne et des cartes à puce, nous avons recours à des moyens de cryptographie, mesures de sécurité au premier rang desquelles figure le chiffrement.
Mais que se cache-t-il derrière ces usages ? Quelles sont les technologies à l’œuvre ? Sur quoi planchent les experts ? Comment les grands ministères régaliens utilisent-ils cette technologie ? Que nous réserve encore cette science plusieurs fois millénaire ?
Science du secret
Née de l’imagination et de l’intuition conjuguées de stratèges historiques, la cryptologie – étymologiquement la science du secret – doit sa longévité à tous ceux qui, au fil des siècles, ont su y déceler de nouvelles applications et en révéler le potentiel. D’abord réservée aux usages militaires et diplomatiques, la cryptologie fait partie intégrante de notre quotidien depuis l’avènement d’Internet. Aujourd’hui incontournable, cette science du secret offre des possibilités sans équivalent connu à ce jour. Cette technologie est en effet déployée dans de nombreuses applications publiques telles que WhatsApp ou encore Telegram. Des usages à tel point entrés dans les moeurs quotidiens que l’on a vu le candidat Macron échanger avec certains candidats députés sur ces applications. La tentation est évidemment grande de transposer, avec tant de facilité, les habitudes de la sphère privée, au bureau « Certes, ces applications sont chiffrées mais ces outils ne sont pas adaptés à une utilisation professionnelle et encore moins pour des échanges de données sensibles. C’est toute la question du Shadow IT qui se pose là, c’est-à-dire l’utilisation de solutions grand public souvent gratuites à des fins professionnelles. » souligne Raphaël Basset, VP Marketing & Business Development chez ERCOM et de poursuivre « en utilisant ce type de solutions, l’intégralité du carnet d’adresses est avalé par les serveurs de ces applications. La seconde question est alors celle du privacy by design… »
L’ANSSI rappelle alors « que l’intégration d’applications cryptographiques dans un environnement professionnel concerne de très nombreux secteurs d’activité et fait appel à des savoir-faire spécifiques, voire à l’intervention d’experts spécialisés dans la mise en œuvre de ces solutions et l’accompagnement à ces usages. Mais ces experts ne peuvent garantir à eux seuls la cybersécurité des institutions, des entreprises et des particuliers sans une prise de conscience collective des enjeux du numérique et l’assimilation de bonnes pratiques. Un effort de sensibilisation auquel s’ajoute l’entretien de relations de confiance avec les personnes et entités concernées par ces questions, en tant que concepteurs ou – peut-être comme vous – utilisateurs finaux de ces solutions. Responsabiliser chaque maillon de la chaîne des systèmes d’information est une priorité. » La prise de conscience des risques par les entreprises, tout comme de l’impérieuse nécessité de mettre en place des solutions de chiffrement pour leur sécurité, reste somme toute récente. Loin d’être généralisée « elle s’améliore » néanmoins, souligne Raphaël Basset, portée par les campagnes de sensibilisation et le travail effectué par l’ANSSI notamment, mais aussi par les publications de plus en plus fréquentes sur les failles de sécurité des entreprises.
Aller plus loin
Pour démocratiser le recourt au chiffrement aussi bien dans les entreprises que dans les institutions, il nous faut gagner la bataille de la donnée « et cela passe par l’émergence de champions européens, soutenus par l’Europe ! et une véritable politique volontariste de sécurité » clame Raphaël Basset. Du premier téléphone chiffré dans l’avion présidentiel en 2002 aux quelques 200 terminaux ERCOM déployés au sein du Ministère de l’intérieur, le marché gouvernemental national est certes important et prestigieux mais il ne dépassera pas la dizaine de milliers d’unités. « Nous avons aujourd’hui besoin de passer à l’échelle et d’avoir des commandes en plus grand nombre pour baisser nos coûts et ainsi pouvoir proposer cette solution de chiffrement de bout en bout au plus grand nombre. » commente Raphaël Basset et de poursuivre « seule l’échelle européenne nous permettra d’atteindre cet objectif qui est également une nécessité pour l’avenir de notre industrie ».
Pour assurer ces usages, la cryptologie regroupe trois principales fonctions : le hachage (avec ou sans clé), la signature numérique et le chiffrement.
Le hachage : quand la cryptologie permet de détecter si le message, ou l’information, a été involontairement modifié.
La signature : pour assurer l’authenticité du message. Elle permet de vérifier qu’un message a bien été envoyé par le détenteur d’une « clé publique ». Ce procédé cryptographique permet à toute personne de s’assurer de l’identité de l’auteur d’un document et permet en plus d’assurer que celui-ci n’a pas été modifié.
Le chiffrement : pour assurer la confidentialité du message. Il permet justement de garantir que seuls l’émetteur et le(s) destinataire(s) légitime(s) d’un message en connaissent le contenu. Une fois chiffré, faute d’avoir la clé spécifique, un message est inaccessible et illisible, que ce soit par les humains ou les machines.
Un passage à l’échelle qui s’appuie aussi sur des partenariats avec les grands intégrateurs comme « Samsung ou IDEMIA » avec qui ERCOM collabore sur des conceptions de solutions de sécurisation de communications et de terminaux. « Nous avons considérablement fait évoluer notre solution Cryptosmart afin de simplifier le processus de déploiement chez les utilisateurs. Nous avons également créé une application de type WhatsApp mais dédiée à l’univers professionnel, ministères ou entreprises, qui s’adaptent sur tout type de terminal. »
Des partenariats qui permettent à la technologie d’acquérir une véritable maturité et une belle vitrine. Vitrine exportable qui permet à une PME de s’attaquer aux marchés internationaux. « On a besoin de ces industriels pour porter nos solutions, pour en développer de nouvelles, mais aussi pour conquérir des marchés à l’étranger. Pour que l’équation économique fonctionne, il nous faut aller au-delà du pur secteur hexagonal. » déclarait Guillaume Poupard, Directeur général de l’ANSSI.
Le tournant 2018
2018 devrait en effet marquer un tournant dans la massification de ces solutions au sein des ministères régaliens. Au sein du Ministère de l’intérieur, suite aux révélations d’Edward Snowden, des directives émanants du cabinet du Premier Ministre d’alors, ont exigé le déploiement de solutions de chiffrement qualifiées par l’ANSSI pour la téléphonie mobile. Après une expérimentation conduite fin 2016, le ministère a intégré dès Mai 2017 les solutions développées notamment par ERCOM. « Aujourd’hui, en 24 heures, un terminal ERCOM est déployé pour toute demande émise et nous nous employons à réduire drastiquement ces délais. » souligne Thierry Markwitz, sous-directeur des infrastructures au sein du ministère de l’Intérieur. D’ici à la fin de l’année, ce seront près de 2000 terminaux qui seront opérationnels. « Cela correspond à l’élargissement voulu par le ministère d’équiper au-delà des cabinets ministériels, le corps préfectoral, les directeurs généraux… » ajoute t-il, et de poursuivre « Simple et transparente pour l’utilisateur, malgré un chiffrement de bout en bout, incluant la voix », la technologie ERCOM est également déployée en cas de crise, notamment lors de l’envoi des forces du ministère sur les territoires touchés par l’ouragan IRMA. « Grâce à cette technologie nous avons pu disposer de différents médias et garantir notre capacité opérationnelle alors qu’aucun réseau n’était disponible sur zone. » Des déploiements sont également en cours dans le cadre des missions de contrôle aux frontières assurées par le ministère.
Horizon 2022
Au sein du Ministère de l’intérieur, la Police nationale devait voir s’étendre le programme « Trustway » by Bull, déjà déployé au sein de la gendarmerie. Des investissements importants « beaucoup plus importants que le programme déployé dans la gendarmerie » commente le ministère sans toutefois donner de chiffres précis. Cela s’expliquerait notamment par le besoin en bande passante plus important et les très nombreux points de visio-conférence, au nombre de 1000 et la montée en puissance de la webconférence… Un déploiement qui devrait s’inscrire dans le cadre de l’homologation du Système d’information du Ministère au niveau Diffusion restreinte d’ici à fin 2019.
Au-delà de ces équipements, les couches de chiffrement pour les données stockées sur les postes de travail seront assurées par la solution Cryhod de Prim’X, un logiciel de chiffrement moderne qui assure le chiffrement complet des disques durs des postes de travail portables de l’institution. L’accès aux données n’est possible que pour les utilisateurs autorisés et dûment authentifiés au pré-boot. Enfin, pour ce qui concerne les échanges de données entre utilisateurs, ces derniers seront chiffrés par les conteneurs Zed (Prim’X), comparables à une « valise diplomatique » contenant des fichiers sensibles que seuls les destinataires identifiés ont le droit de lire.
Dans le cadre du programme Action Publique 2022 (AP 2022), la numérisation globale devra donc impérativement s’accompagner d’une sécurité numérique adaptée aux nouveaux enjeux de nomadisme et de proximité, mais aussi de volume, dans un ministère qui compte un peu moins de 200 000 postes de travail « le poste de travail devra être homogène sur l’ensemble du territoire, autonome et les applications agnostiques de l’OS (smartphone, poste de travail Linux ou Windows) ». Enfin, une montée en gamme sera indispensable dans la détection en temps réel pour une défense en profondeur du système d’information.
L’ordinateur quantique
La rupture technologique de l’ordinateur quantique soulève la question de la puissance cryptographique et des clés de chiffrement. « Ces dernières vont devoir être durcies » commente Raphaël Basset, tout comme Renaud Lifchitz, expert sécurité d’Econocom Digital Security, qui insistait déjà il y a de 2 ans sur la fragilité de la cryptographie asymétrique « il faudra rapidement doubler toutes les tailles de clés symétriques pour rester hors de portée des attaques quantiques (…) c’est la cryptographie asymétrique, utilisant des algorithmes de type RSA, qui risque d’être rapidement dépassée » entrainant dès lors des conséquences funestes pour grand nombre des protocoles de sécurité que nous utilisons quotidiennement : PKI, SSL, SSH, HTTPS, cartes à puce, etc. Tous les scientifiques s’accordent à dire que, dans 25 ans, tous ces protocoles seront cassables. Avec l’informatique quantique, les ordinateurs vont en effet acquérir une puissance de calcul 100 millions de fois supérieure à celle des ordinateurs actuels. Il va donc être nécessaire de mettre en place de nouveaux standards d’ici à 5 ans.
Les enjeux de l’IoT
Les progrès réalisés dans ce domaine des ordinateurs quantiques et de leur puissance de calcul représentent également des risques pour le chiffrement des objets connectés.
Si l’essor de ces derniers génère d’incontestables progrès, ils sont aussi une cible de choix pour qui souhaite en capter les données (éléments de santé, coordonnées bancaires, informations stratégiques…). Les caméras, micros, accès réseau et autres applications dont sont dotés ces objets sont autant de passerelles pour un attaquant qui ne choisit généralement pas sa cible par hasard…
On constate en effet que ces objets aux systèmes hétérogènes évoluant au sein d’environnements contraints ne sont pas suffisamment armés contre les menaces qui les guettent, faute de ressources dédiées à la sécurité. Pourtant, avec un peu de bon sens (intégration de la composante sécuritaire de bout en bout) et grâce aux fruits de la recherche en cryptographie légère (en termes d’espace et de coût) notamment, les objets connectés ont toutes les raisons de se convertir à la cybersécurité. Reste à voir si le hardware et le processeur de l’IoT peuvent supporter le chiffrement. C’est tout l’enjeu du secure by design !
Chiffrement homomorphe
Le ministère des Armées déjà très en pointe sur ce sujet et disposant de nombreux équipements dotés de ces technologies place la question du chiffrement parmi ces enjeux stratégiques. Lors du Forum Innovation DGA qui s’est déroulé à l’Ecole Polytechnique le mois dernier, la DGA a présenté le chiffrement homomorphe comme technologie de rupture, au même titre que l’IoT, l’intelligence artificielle et l’ordinateur quantique. La cryptographie figure donc sans surprise dans les grandes orientations du ministère régalien.
Le chiffrement homomorphe permet pour un utilisateur (particulier, entreprise, etc.) de confier au Cloud des données préalablement chiffrées sans jamais que celui-ci ne soit amené à les déchiffrer. Grâce à des propriétés mathématiques spécifiques, le chiffrement homomorphe permet de réaliser des traitements sur les données chiffrées hébergées dans le Cloud et de disposer ainsi d’une capacité de stockage et de calcul externalisée.
Le chiffrement homomorphe peut également servir dans le cas du vote électronique. En effet, chaque vote peut être chiffré séparément, la somme des votes est calculée de façon homomorphe sur les votes chiffrés, et quelques autorités de confiance qui se partagent la clé privée se réunissent une unique fois pour déchiffrer la somme obtenue. Bien entendu, beaucoup d’autres vérifications sont utilisées pour prouver la validité des votes et le chiffrement homomorphe ne constitue qu’une partie du protocole de vote électronique.Le chiffrement homomorphe pourrait représenter un atout dans la lutte contre le terrorisme, ou le crime organisé.
L’accès des autorités publiques aux données chiffrées
La CNIL, qui n’a pas été consultée dans le cadre du projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme, a pris position sur l’accès des autorités publiques aux données chiffrées et a rappelé que « le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. Il ne doit pas être affaibli. En effet, les solutions de chiffrement permettent non seulement de préserver la confidentialité de données transmises par Internet, mais aussi d’en assurer l’intégrité, contre une cybercriminalité qui vise tout autant à accéder à des informations confidentielles ou sensibles qu’à les modifier, les copier ou les supprimer. Le chiffrement participe donc de la cybersécurité, qui est vecteur de confiance pour les utilisateurs, particuliers ou professionnels, et gage d’innovation pour les industriels. Ces objectifs de protection de la vie privée et de sécurité du patrimoine informationnel des acteurs publics et privés doivent évidemment être conciliés avec la nécessité pour les autorités publiques d’accéder aux informations qui leur sont nécessaires. L’accès, par les autorités judiciaires ou les services de renseignement, à des données informatiques, qui peuvent être chiffrées, fait ainsi l’objet de nombreuses dispositions spécifiques dans le droit national. L’ensemble des outils susceptibles d’être mobilisés pour accéder à des données chiffrées ou contourner les dispositifs de chiffrement, qui ne peuvent être mis en œuvre que dans certaines conditions précises, forment un arsenal juridique solide. Le cadre juridique de ces différents outils est en outre régulièrement modifié afin de mieux les adapter à l’état des technologies. D’éventuelles adaptations du cadre juridique ne suscitent naturellement aucune objection de principe de la part de la CNIL. Cependant, la Commission entend réaffirmer, comme l’avait fait l’ANSSI que la mise en place de portes dérobées (« backdoors ») dans les systèmes de chiffrement et de « clés maitres », ou encore l’interdiction pour le grand public d’utiliser des techniques de chiffrement des données à la main des utilisateurs, mettraient en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées. Elles créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique. »
Le chiffrement homomorphe qui va dans le sens de la maîtrise de la souveraineté d’une entrepirse ou d’un Etat, pourrait bien être un atout majeur réconciliant Privacy et lutte contre la criminalité. Un sujet de toute évidence qui semble bien être l’un des plus brûlants de la cryptographie moderne.
“ Selon la dernière étude de MarketsandMarkets, le marché mondial du chiffrement mobile et des communications sera en 2022, de 2 milliards d’Euros. La croissance moyenne annuelle sur les solutions sera de l’ordre de 29,6 % contre 33,7 % pour les services. ”