Cet automne nous nous sommes lancés un défi . Démystifier le chiffrement des données et vous prouver que tout le monde peut comprendre ce que c’est et surtout à quoi ça sert !

Aujourd’hui, Alexandre, développeur chez Lybero.net, explique le niveau 1 du chiffrement.

Le chiffrement expliqué à mamie

Ma grand-mère, même si elle est cool et branchée (pour une grand-mère évidemment, PNL et League Of Legends, c’est loin pour elle), n’a jamais rien compris à mon travail, développer des applications, pour elle, c’est sombre, un sombre très opaque. Déjà l’informatique ce n’est pas son truc à mamie, elle envoie bien un mail de temps à autres (oui, celui avec un Powerpoint de chats) et elle se connecte à Facebook pour son club de scrabble. Elle utilise l’outil mais ne cherche pas du tout à comprendre. Et c’est bien normal, elle utilise sa voiture tous les jours ou presque sans savoir comment fonctionne un moteur ou un arbre à cames, pourquoi n’en irait-il pas de même avec son ordinateur ?

Quelle ne fût pas ma surprise quand un jour elle m’écrit ce message : « Dis-moi, tonton Jean-René m’a dit qu’il fallait que je chiffre mes données, que c’était important, mais je ne comprends pas ».

Et là, c’est le drame, la galère… comment vais-je faire comprendre à mamie comment fonctionne le chiffrement et pourquoi ça devient de plus en plus indispensable… Je vous mets donc un extrait de la conversation.

Chiffrer ses données  pour protéger des informations

«  Alors, le chiffrement mamie, c’est rendre illisible quelque chose et le rendre lisible seulement à toi, ou à celui à qui tu donnes ce droit. Prends ta maison, tu ne veux pas que n’importe qui rentre chez toi et sache tout ce qu’il y a dedans ? Imagine si tout le monde avait une vue de ta collection de posters de Claude François ? »
«  Ha non, on ne touche pas à ma collection de posters de Claude !»
«  Et qu’est-ce que tu as fait pour empêcher les gens de rentrer ? »
«  J’ai fermé la porte »
«  Oui, mais si tu ne fais que fermer la porte, tous les gens qui connaissent les portes (et ils sont plutôt nombreux), pourront rentrer quand même, qu’est-ce qui empêche les gens de rentrer, mais qui fait que toi et papy peuvent rentrer ? »
«  Mais bien sûr ! Le verrou ?! »
«  Oui c’est ça, c’est le verrou. Toi et papy avez la clef, ça vous permet de rentrer chez vous, mais tous ceux qui n’ont pas la clef ne peuvent pas rentrer. Hé bien figure toi, que chiffrer des données c’est pareil, on « verrouille » les fichiers, on fait une sorte de gros mélange pour que personne ne puisse voir ton powerpoint de chats, mais si tu as la clef, tu peux voir ce qu’il y a à l’intérieur.  Mais en vrai c’est un petit peu plus compliqué que ça.
Imagine qu’en fait, tes photos de chats, c’est une succession ininterrompue de chiffres ou de lettres et quand l’ordinateur voit cette suite, il est capable de dire OK, c’est une image, et je peux traduire ça par cette image. Et bien le chiffrement, ça va consister à mélanger toutes les lettres et les chiffres, les changer, pour qu’aucun ordinateur ne puisse se dire que c’est une image et l’afficher ».

Le chiffrement, une histoire aussi vieille que l’antiquité…

«  Mais comment c’est possible ça ? »
« Et bien prends les armées romaines, pour se faire passer des messages entre généraux sans que les espions ennemis puissent connaître le contenu de leurs échanges, ils utilisaient le chiffrement de César. Ça consiste à intervertir des lettres avec un décalage de l’alphabet décidé que seuls les généraux connaissaient. C’est la première méthode de chiffrement utilisée à grande échelle.»
«  Houla ! C’est bien compliqué tout ça »
«  Mais non, prends l’exemple du mot BONJOUR. Ensuite prends l’alphabet ABCDEFGHIJKLMNOPQRSTUVWXYZ. Maintenant, pour rendre le message illisible au premier coup d’œil, on va dire que pour chaque lettre que tu veux utiliser, tu vas en fait utiliser la suivante dans l’alphabet. Le B va devenir quelle lettre ? »
«  Le B va devenir un C ? »
«  Bravo mamie, le B devient un C, le O un P, etc… vas y, fait tout le mot. »
«  CPOKPVS »
«  Bravo encore mamie, tu vas bientôt devenir une experte du chiffrement ! »
« Ne te moque pas ! »
«  Je ne me moque pas, ou juste un peu, mais tu as compris le principe du chiffrement, si tu utilises CPOKPVS dans un email et que tu m’a dit avant : «  on dit qu’on décale d’ une lettre vers la droite » je saurais déchiffrer ton message par ce que tu m’as donné la « clef ». Parce que chiffrer un message c’est bien, mais il faut le déchiffrer ensuite, on ne veut pas rendre illisible à tout le monde, juste à ceux qui n’ont pas le « droit » de voir. »
«  Ha oui, c’est tout de suite plus compréhensible.»
«  T’as vu comme il est fort ton petit fils ! Pour être précis, je reprends l’image de ta maison. Aujourd’hui tu verrouilles et déverrouilles ta maison avec la même clef, papy et toi avez en quelque sorte la même clef, en tous cas, la même forme de clef. Cette même forme de clef vous permet de verrouiller ou déverrouiller la maison. Et ça en informatique, on appelle ça le chiffrement symétrique. Il y a symétrie de clef qui permet de chiffrer et déchiffrer. Par exemple, tu peux verrouiller un document Excel, Word, un Zip avec un clef unique qui sert dans les deux sens. »
« Mais pourquoi il faut faire tout ça ? C’est très compliqué pour rien ! »

Le chiffrement des données, encore et toujours d’actualité

« Ne pense pas ça mamie, aujourd’hui, la plupart des services important sont dématérialisés, c’est à dire que pour demander une carte d’électeur, pour voir tes comptes, pour faire des virements, pour payer tes impôts, pour souscrire à une assurance, tout se fait par internet. Donc sur ton ordinateur, tu as tous tes contrats, tes relevés de banque, je suis certain que tu as même une copie de ta carte d’identité. Avec tout ça, quelqu’un qui sait ce qu’il fait, il peut souscrire un prêt à ta place par exemple. Et tu ne le sauras que quand il sera trop tard. Et imagine tonton Jean-René avec son entreprise comptable, imagine si quelqu’un volait toutes les informations sur ses clients ? »
« Tu vois, je pense souvent à papy quand il avait son troupeau de vaches, petit, il devait faire attention aux loups, et il avait toujours des chiens avec lui pour protéger son troupeau. Il protégeait le matériel de son travail qui lui permettait de manger. Aujourd’hui, dans notre monde moderne, on travaille beaucoup avec des données, avec de l’information, c’est ça qui fait manger les gens, le travail sur l’information. Pourquoi on ne protègerait pas notre outil de travail ? Surtout que les loups à l’époque de papy ils étaient rares, mais ce qu’on appelle les pirates, ceux qui volent l’information, ils sont nombreux et ils n’ont pas besoin de bouger de chez eux, c’est beaucoup plus facile. »
« Mais ça fait peur ton histoire »
« Non, ça ne fait pas peur quand tu utilises les bons outils et notamment le chiffrement »
« Ha je comprends ce que m’a dit tonton Jean-René maintenant ! Mais il m’a parlé de pas symétrique ou quelque chose comme ça. »
« Alors, il a dû te parler de chiffrement asymétrique, mais je pense qu’on a déjà notre compte pour la journée, on parlera de la suite un peu plus tard. »
« D’accord, merci mon petit-fils ! »
« De rien mamie. »

 RDV dans un mois pour connaitre la suite de notre discussion avec notre mamie et passez au niveau 2 !

Alexandre

Front-End Développeur

L’article Le chiffrement de données expliqué simplement est apparu en premier sur Lybero.

Le monde de l’informatique (l’IT) est une jungle. Que vous soyez un utilisateur pur et dur ou bien un vieux de la vieille, c’est la même chose. Vous pouvez avoir des offres mirifiques qui apparaissent telles des comètes, certaines de ces comètes se transforment en soleil, d’autres ne font que passer. Et il est très difficile de s’y retrouver et d’anticiper. En particulier, les investissements que vous faites sont-ils ou non pérennes ? Les décideurs n’ont pas un boulot facile.

Un des inconvénients du monde informatique est aussi que dans ce monde, il n’y a pas que des techniciens. Et donc, il arrive que l’on ait des discours sur des produits qui soient très déconnectés des réalités techniques.

 Chiffrement de bout en bout : si tout le monde le propose: tout est bien qui finit bien ?

Si vous lisez les offres sur les services ou les logiciels de partage de fichiers, vous pouvez être certains (sûrs ?) que l’adjectif SÛR va apparaître. « Notre service est sûr ! Il respecte le RGPD ! … ». D’abord tous les services sont chiffrés. Tous ! Il n’y a pas d’exception. Truc Drive ? chiffré. XXXXbox ? Chiffré…. CryptnDrive (notre logiciel) est lui aussi chiffré. Tout le monde est chiffré, c’est génial.

En fait, non, ce n’est pas génial. Dans certain cas, le chiffrement est là pour vous protéger, dans d’autres il est là pour protéger celui qui offre le service des utilisateurs et aussi en partie son propre personnel. Ce n’est pas le même chiffrement !

Si vous regardez l’architecture d’un système de partage de fichiers, vous allez avoir quelque chose qui ressemble à cela:

Schéma représentant l’architecture d’une solution de partage de fichiers via le web

Pour tout ce qui est partage de fichiers, le web s’est imposé comme la solution universelle. Donc au minimum, les utilisateurs peuvent déposer / récupérer les fichiers via un navigateur web.

Dans les applications modernes, vous avez une partie de l’application qui est déportée dans le navigateur (ce que j’ai représenté par les 2 briques Angular ou React dans le navigateur) et même une partie de stockage tampon. Le navigateur va alors communiquer avec le site web via internet.

La première raison pour laquelle tout le monde est chiffré, est que cette liaison (notée internet sur le schéma) est aujourd’hui chiffrée de manière systématique. Les navigateurs sont proches du moment où ils refuseront de se connecter à un site sans chiffrement. C’est un premier niveau de chiffrement : le chiffrement de canal.

Ensuite, dans de nombreux systèmes, une fois le fichier arrivé sur le serveur, il est traité par un serveur d’applications et stocké. D’une manière ou d’une autre, le fichier stocké est chiffré. Ce peut être un mécanisme natif d’une base de données, ce peut être applicatif et donc c’est une clé de chiffrement au niveau de l’application qui est utilisée. Ces mécanismes ont plusieurs utilités :

• ils permettent de garantir qu’un accès physique au support ne conduira pas à une compromission des données,
• dans l’organisation, cela permet d’avoir des rôles séparés. Typiquement, on peut trouver des mécanismes où l’administrateur système n’a pas accès aux contenus directement, mais doit passer par un administrateur de contenus. Ce type de mécanisme de séparation de responsabilité est très pratique et permet de réduire l’exposition à des attaques internes,
• si des clés différentes sont utilisées pour les différents contenus ou les différents utilisateurs, cela permet d’isoler les utilisateurs les uns des autres.

Il m’est arrivé de lire que certaines organisations appelaient cela du chiffrement de bout en bout. Vous chiffrez le canal et après vous chiffrez le contenu ! Non, ce sont des étapes successives de chiffrement avec des moments où le fichier est disponible sur un ou plusieurs serveurs de l’organisation sans aucun chiffrement.

 Ce n’est pas du chiffrement bout en bout.

La pierre de touche fonctionnelle pour savoir s’il y a chiffrement de bout en bout c’est : y a-t-il un administrateur dans l’organisation qui a potentiellement accès aux fichiers ? Si la réponse est oui, ce n’est pas du chiffrement de bout en bout.

La définition simple et facile de Lybero.net

Maintenant, parlons de ce qu’est le chiffrement de bout en bout. Si votre fichier est chiffré au moment où il est téléchargé et que seules les personnes à qui un accès explicite a été donné peuvent y accéder, alors c’est un chiffrement de bout en bout. Cela peut être fait ou avec un programme intégrant ces fonctions (pgp, gpg, whatsapp sur mobile, …) ou bien en javascript à l’intérieur d’une page web. C’est ce que nous faisons dans CryptnDrive. De cet manière l’administrateur système n’a à aucun moment la possibilité accèder aux contenus. Le chiffrement de bout en bout joue donc un rôle important dans la protection contre les menaces internes et la fuite de données.

La question de l’accès des administrateurs aux contenus gérés est en train de devenir une question importante. Il y a toute une catégorie de logiciels dédiés à la gestion des comptes à privilèges qui est apparue. Ces logiciels permettent la gestion des accès et l’enregistrement des opérations pour pouvoir faire des vérifications ultérieures. Cependant aussi intéressant que soient ces logiciels, si une information importante a fuité à cause d’un administrateur système, elle a fuité. Être capable d’identifier la source de la fuite est intéressant et rassurant, mais malheureusement c’est trop tard. Donc la meilleure manière de faire cela est que l’administrateur système n’est pas accès du tout aux contenus. D’où l’intérêt du chiffrement de bout en bout.

Arnaud

PDG de Lybero.net

L’article Chiffrement de bout en bout, qu’en est-il vraiment? est apparu en premier sur Lybero.

Retrouvez dans la suite de cet article les bonnes pratiques pour mettre en place sereinement le chiffrement dans votre organisation .

Faut-il tout chiffrer ?

Commençons par le début. La première question à se poser est : qu’est-ce que l’on chiffre ? plus précisément quelles informations voulez-vous chiffrer ? Toutes les données utilisées par vos collaborateurs et vous doivent-elles nécessairement être chiffrées ?

Bien sûr ,vous pouvez décider de chiffrer toutes vos données , de partout . Cependant cela peut rendre la mise en place et la gestion du chiffrement au sein de votre entreprise difficile.

Le deuxième problème à vouloir tout chiffrer se trouvera du côté des utilisateurs. Si les outils de chiffrement mis en place deviennent trop compliqués et trop contraignant à utiliser, le risque qu’ils s’en détournent et commencent à utiliser d’autres outils dont la sécurité est moindre devient de plus en plus élevé .

La sécurité de votre entreprise sera alors mise à rude épreuve et tous vos efforts pour sécuriser vos données tomberont à l’eau . La vertu est un pic comme dit André Comte-Sponville, pas assez de sécurité, est dangereux pour l’entreprise, trop de sécurité peut rendre la vie des utilisateurs complexe, ce qui les conduit à rejeter les pratiques qui reposent d’abord sur eux. Il faut donc trouver un équilibre entre ergonomie et sécurité.

  Notre conseil : chiffrons bien, chiffrons ciblé !

Vous l’aurez compris, avant de mettre en place un outil de chiffrement au sein de votre organisation, il vous faudra donc  déterminer quelles informations doivent être chiffrées.

Pour ce faire, il est nécessaire de distinguer les données à caractère personnelle dites sensibles, pour lesquelles la réglementation impose une protection avec le plus haut niveau de sécurité, des données propres à votre organisation qui peuvent être confidentielles.

Concernant les données à caractères  personnelles et sensibles, la CNIL définissait de manière claire et précise les données personnelles sensibles au sens de la loi Informatique et Libertés. Cette classification peut être utilement reprise vis à vis du Réglement Général de Protection des Données (RGPD). Nous vous invitons à consulter le site la CNIL afin d’obtenir plus d’informations sur celles-ci.

Ce tableau de  la CNIL ,dans une de ses publication en 2015 , peut déjà vous aiguiller sur les données à protéger:

Source: CNIL – PIA l’outillage: étude d’impact sur la vie privée, modèles et base de connaissances, juin 2015 – pdf

Concernant les données produites et traitées par votre entreprise , leur caractère confidentiel doit être déterminé. Chaque secteur d’activité et chaque organisation étant différente , il n’existe pas de règle préétablie afin de déterminer le caractère sensible d’une donnée.

En fonction de votre activité cela peut être : des données RH, des données relatives à votre recherche et développement ,des données stratégiques , des données d’ordre financier ….

Une technique serait d’identifier quelles données a de valeur ? En d’autres termes, quelles données un hacker vous volerait-il dans le but de les revendre?

Notre conseil: catégoriser vos données d’une part par rapport à leur sensibilité et d’autre part par rapport à leur valeur . Identifiez bien les données dites sensibles conformément à la réglementation que vous traitées.

Le chiffrement pour protéger de la menace interne

Il est important de noter que la menace ne vient pas forcément de l’extérieur , elle peut venir aussi de l’intérieur que ce soit des employés de l’organisation ,qui ont accès à des informations auxquelles ils ne devraient pas ,ou des prestataires externes,  lorsque vous sous-traiter notamment l’administration de votre système d’informations.

Des utilisateurs peuvent avoir accès à des informations confidentielles et donc les divulguer de manière non intentionnelle, au détour d’une simple discussion anodine par exemple.

L’administrateur système peut lui aussi être considéré comme une menace interne . En effet, de part son poste il a généralement accès à toutes les données de l’entreprise. Une divulgation peut là aussi avoir lieu de manière toujours non intentionnelle . A fortiori, le risque est d’autant plus important lorsque vous passer par un prestataire pour gérer  toute la partie SI de votre organisation.

Recourir au chiffrement, et en particulier au chiffrement de bout en bout, prend dés lors tout son sens dans une stratégie de protection contre les cyber risques.

Le chiffrement apparaît donc comme un outil indispensable afin de gérer les accès aux données et ainsi éviter la fuite de données et garantir la sécurité de celles-ci

Notre conseil : utiliser le chiffrement de bout en bout afin de protéger au maximum vos données des menaces internes et externes

Le chiffrement est-il incompatible avec le télétravail ?

Avec le recours au télétravail massif, la sécurité des données des entreprises à été mise à rude épreuve .Que ce soit avec les employés se connectant depuis chez eux aux serveurs de l’entreprise  via leur poste de travail ; tout comme ceux qui ont utilisé leur ordinateur personnel pour télétravailler.- En témoigne l’explosion des cybers attaques  pendant la crise sanitaire liée au COVID-19.

Protéger les données des organisations est donc d’autant plus nécessaire avec ce télétravail massif. La mise en place du télétravail dans une majorité d’entreprise a obligé celles -ci à s’atteler à la sécurité des  données échangées et donc  à trouver une solution. Et le chiffrement est un des moyens d’y arriver.

A cet effet, Il n’est pas nécessaire de rendre le chiffrement  complexe . De nombreux outils payants, gratuits ou libres existent. Dans les outils libres, Veracrypt et gnugpg sont particulièrement intéressants et simples à utiliser et mettre en oeuvre.

Notre conseil : dans le cadre du télétravail, vous pouvez commencer par mettre en place des  mesures de chiffrement simple  afin de protéger les données d’éventuelles cyber attaques

Trouver une solution de chiffrement facile à utiliser et facile à gérer

Si le recours au chiffrement est un bon moyen de se protéger pour une organisation, il n’en est pas moins un moyen qui peut parfois être difficile à mettre en œuvre et gérer pour votre service informatique, mais aussi compliqué à utiliser pour les utilisateurs.

Pour l’utilisateur ,l’outil doit être simple voir même automatique, dans le cas contraire il risque de s’en détourner; voire même d’utiliser des outils qui ne seront pas d’un niveau de sécurité suffisant.

Du côté de l’administrateur, le recours au chiffrement lui permettra de lui enlever  la pression liée  par exemple au SPOF dont il peut être victime ; tout cela en lui permettant de continuer à effectuer son travail dans de bonnes conditions.

Il est donc important de trouver un juste milieu entre la sécurité informatique et les utilisateurs qui ne souhaitent pas avoir trop de contraintes ou qui ne sont pas toujours très à l’aise avec l’informatique.

Par ailleurs, l’aspect web du chiffrement est un facteur à prendre en compte. Aujourd’hui, et cela est d’autant plus vrai avec la crise actuelle, l’entreprise est de plus en plus ouverte vers l’extérieur. Il faut donc pouvoir échanger des données vers l’extérieur tout en respectant les contraintes de sécurité de l’organisation et en offrant un outil facile à prendre en main et rapide.

L’utilisation de cryptographie web associée au chiffrement de bout en bout comme proposé dans l’offre CryptnDrive peut d’ailleurs tout à fait répondre à ce besoin.

 Notre conseil :  en choisissant votre solution de chiffrement prêtez autant attention à la facilité de gestion de l’outil qu’à la facilité d’utilisation

Distinguer la protection des données au repos de la protection des échanges

Lorsque vous déciderez de mettre en place une stratégie de chiffrement au sein de votre organisation, il sera alors important de bien identifier deux problématiques :

• Une problématique liée à la protection des données sur les postes et les serveurs
• Une problématique liée à la protection des informations échangées

Pour les données stockées sur les serveurs, vous n’utiliserez pas le même outil de chiffrement que pour celles qui sont partagées dans et hors de l’organisation.

Dans le cas de la protection des échanges une solution telle que CryptnDrive pourra parfaitement convenir.

Il vous faudra  vous assurer que la solution choisie intègre :

• Le chiffrement de bout en bout
• La facilité d’utilisation pour vos collaborateurs
• La facilité de gestion de clés pour vos administrateurs
• Les dernières technologies en matière de sécurité comme la cryptographie à seuil par exemple

Notre conseil: après avoir identifié les données à chiffrer , distinguez celles qui sont en local ou sur les serveurs de celles qui sont échangées et partagées en interne et externe.

Le récap utile et pratique:

Anne-Claire

Marketing digital

L’article Chiffrement des données : les bonnes pratiques est apparu en premier sur Lybero.