Notre confiance dans le chiffrement est-elle excessive ?

0

Nous sommes tellement éblouis par notre propre génie en cryptographie que nous en oublions un peu rapidement que la plupart des données au repos – cachées dans des bases de données – ne sont pas chiffrées.

Par exemple, selon une étude menée par l’éditeur Skyhigh, si la grande majorité des fournisseurs de services cloud (81,8 %) chiffrent bien les données en transit (entre leurs utilisateurs et leurs serveurs), seule une infime minorité d’entre eux (9,4 %) le fait une fois la donnée stockée chez eux.

Sachant qu’en dépit de cela un nombre croissant d’entreprises migrent leurs applications métiers dans le Cloud, exploitent des bases de données hébergées sur un PaaS public, ou encore s’appuient sur du stockage AWS S3, on imagine sans peine les catastrophes à venir.

En fait, le problème vient du fait que le chiffrement des données en transit est beaucoup plus simple à opérer : tous les navigateurs modernes et tous les serveurs web actuels gèrent parfaitement les protocoles SSL/TLS, et cette protection des données en transit est donc assurée de manière quasi automatique. On pense donc que « c’est chiffré », et donc protégé.

Mais il en va autrement de la donnée dite « au repos », lorsqu’elle est stockée dans les bases de données. Car pour que l’application en mode SaaS puisse traiter les données et remplir sa tâche, elle doit y avoir accès en clair. Cela signifie, pour l’éditeur, d’être en mesure de gérer le chiffrement et le déchiffrement des données pour chaque client, avec des clés distinctes, de manière sécurisée et à la demande au moment du traitement. C’est une tout autre paire de manches, et c’est pourquoi si peu d’entre eux le font.

Mais ce n’est pas le pire : entre le transit (sécurisé) et le stockage (pas toujours), il reste le traitement. Et là, il y a fort à parier que les fournisseurs de solutions SaaS qui chiffrent/déchiffrent en mémoire durant le traitement sont encore moins nombreux.

C’est la raison pour laquelle, en fin de compte, les fuites de données continuent de se produire à un rythme de plus en plus rapide. Non pas parce que les données ne sont pas correctement chiffrées (nous avons vu qu’elles le sont quasi systématiquement en transit et parfois même au repos), mais tout simplement parce que les applications et les APIs qui les manipulent doivent, à un moment ou à un autre, en disposer en clair afin de pouvoir travailler. Et c’est à ce moment que les données sont vulnérables !

En définitive le risque qui pèse sur les applications, là où les données sont manipulées en clair, est probablement encore plus important pour la sécurité et la confidentialité des données traitées que la menace de la cryptographie quantique sur les données chiffrées.

Les attaquants vont en effet au plus facile. Et aujourd’hui, déchiffrer de force des données correctement chiffrées en encore terriblement compliqué (du moins en attendant de voir se réaliser les promesses de la cryptographie quantique), tandis qu’attaquer des applications est en revanche beaucoup plus simple.

C’est l’une des raisons pour lesquelles les applications sont si souvent ciblées par les pirates. Dans l’analyse du F5 Labs sur une décennie d’atteintes à la vie privée, « les applications ont été la cible initiale dans 53 % des atteintes à la vie privée ».

Les applications sont donc le moyen le plus facile de dérober des données, car c’est désormais l’un des seuls endroits où celles-ci ne sont pas chiffrées et sont donc facilement accessibles par ceux qui les cherchent.

Nous sommes presque devenus engourdis par la succession des brèches qui se produisent avec une fréquence si alarmante qu’il en devient presque « normal » de voir des millions d’enregistrements dérobés d’une base de données depuis une application (souvent web).

Et tout ceci malgré les efforts constants pour nous convaincre d’utiliser du chiffrement de bout en bout (« Encryption Everywhere »). Et malgré des normes cryptographiques de plus en plus sévères en matière de choix d’algorithme ou de longueur de clé par les navigateurs. Tout simplement parce que, forcément, à un moment donné, les données sont en clair. Et ce « moment » devient donc une cible de choix pour les attaquants !

Nous avons ainsi vraiment un problème si nos « cyberdéfenses » reposent largement sur la cryptographie/ Parce que ce n’est pas seulement la force de la cryptographie qui empêchera les brèches et le vol de données. C’est la solidité de l’ensemble de la chaîne, et donc, aussi, celle de l’application qui traite les données en clair.

Il ne suffit donc pas de regarder avec amour et fierté notre capacité à chiffrer efficacement, nos algorithmes puissants et nos clés bien protégées, si cela doit nous faire ignorer les risques qui pèsent sur nos applications et nos API. La protection de nos actifs numériques (nos applications) et des canaux par lesquels nous y accédons (les API) exige une approche plus holistique de la protection qui combine renseignement sur la menace, identité et détection des attaques en plus d’une cryptographie forte.

About Author

Lori MacVittie

Principal Technical Evangelist, Office of the CTO at F5 Networks

Leave A Reply