25 mars 2010

Les fondamentaux du cryptage

Lorsque l’on travaille avec des données privées, quelles qu’elles soient, il est préférable de se familiariser aux techniques de cryptage et aux exigences de plus en plus nombreuses de protection des données sensibles.

Le Future Lab a récemment publié un article sur les violations de données, de plus en plus fréquentes et coûteuses, et sur les méthodes de cryptage actuellement déployées dans divers pays pour empêcher l’entrée non autorisée dans les bâtiments. L’article soulignait également que du fait de la mobilité croissante des équipements, les données et mots de passe sont encore plus exposés à des mains mal intentionnées.

Nous vous invitons aujourd’hui à commencer par vous poser des questions plus fondamentales sur le cryptage, comme : Qu’est-ce que c’est et d’où vient-il ? Quelles pressions amènent les entreprises à se pencher sur les différentes méthodes de cryptage ? Et quelles spécifications techniques et règlementations faut-il connaître pour comprendre comment les méthodes et la stratégie de cryptage des données actuelles et futures de votre entreprise pourraient affecter sa sécurité physique ?

Documents sous clé

Le cryptage désigne les différentes méthodes permettant de transformer du texte brut en motifs illisibles (cryptogramme), protégeant ainsi le texte contre la lecture et l’utilisation non autorisées. Le récepteur d’un texte crypté utilise une « clé » pour le restaurer sous sa forme de texte brut d’origine. La cryptographie à clé publique, à la base des normes Internet (voir TLS, PGP ci-dessous), utilise une paire de clés asymétriques. L’une des clés est privée, tandis que l’autre est librement utilisée dans le domaine public. Le cryptage à clé publique est couramment utilisé pour les signatures numériques dans des applications bancaires électroniques.

Selon le document « Fondations de la Cryptographie » publié sur le site SecurityDocs.com, le développement de cette technologie et science prend ses racines dans l’histoire, en particulier l’histoire politique ou militaire. Les secrets écrits à l’encre ou sur papier étaient en effet primordiaux ; C’est encore le cas aujourd’hui, même si les informations en jeu sont plus souvent de nature personnelle ou professionnelle : 

« Des combinaisons de chiffres et lettres les plus simples aux combinaisons d’aujourd’hui dont la sécurité est mathématiquement prouvée, la cryptographie a parcouru beaucoup de chemin. Elle a également élargi sa palette d’utilisations et de capacités pour englober des applications toujours plus nombreuses. La cryptographie permet de maintenir en sécurité des données traversant un réseau non sécurisé. Elle permet également de mettre à l’abri des regards indiscrets vos données privées enregistrées sur votre ordinateur. Des systèmes cryptographiques dans un système de verrouillage à distance peuvent même mettre en déroute des voleurs de voiture. »

PGP Corporation, qui tire son nom du développement du logiciel Pretty Good Privacy dans les années 1990, est l’un des principaux éditeurs de logiciels de cryptage de données et courrier électronique. Outre sa large gamme de ressources de cryptage proposées sur son site, PGP parraine également des présentations et livres blancs tels que « The Critical Need for Encripted Email and File Transfer Solutions » (« Le besoin critique de solutions de transfert de fichier et courrier électronique cryptées »), écrit par Michael Osterman et Linda Leung, disponible chez Osterman Research.

Recrudescence de règlementations – dans le monde entier

Selon le rapport de M. Osterman et Mme Leung, seuls 5 Etats des Etats-Unis restent sans loi imposant la notification d’une violation. « Il existe de plus en plus de législations fédérales américaines pour la protection des données sensibles, auxquelles s’ajoutent des législations dans d’autres pays … ». On peut citer la loi HIPAA (Health Insurance Portability and Accountability Act) sur la protection des données dans le secteur des soins, la loi GLBA (Gramm-Leach-Bliley Act) sur la confidentialité des données pour les établissements financiers, la loi Privacy of Consumer Financial Information (Regulation S-P) sur la protection des données à caractère personnel des consommateurs, la norme PCI DDS (Payment Card Industry Data Security Standard) sur la sécurité des données des cartes de crédit et la loi PIPEDA (Personal Information Protection and Electronics Act) sur la protection de la vie privée. Il est important de connaître tous ces acronymes si vous travaillez dans ou en partenariat avec des cabinets de services financiers ou si votre société est amenée à stocker ou transférer des informations de carte de crédit. Pour connaître les règlementations spécifiques à d’autres pays, consultez les Rapports Ponemon, gratuits, sur les dernières tendances dans le cryptage.

Le jargon à connaître

Même si vous n’êtes pas responsable du cryptage des données dans votre entreprise, voici une présentation détaillée des principales méthodes de cryptage à connaître, notamment :

• TLS (Transport Layer Security). Si les environnements de messageries électroniques de l’émetteur et du récepteur supportent la norme TLS, les messages sont automatiquement chiffrés pendant leur transmission. TLS et son ancienne version, Secure Sockets Layer (SSL), sont les protocoles les plus largement reconnus pour la sécurisation des transactions sur Internet.
• OpenPGP. Norme de cryptage pour la protection de tous types de contenus, allant des courriers électroniques aux images et fichiers PDF.
• S/MIME (Secure Multipurpose Internet Mail Extensions). Norme de cryptage à clé publique et signature de courrier électronique.
• Méthodes manuelles. Type de logiciels dans lesquels l’émetteur d’un courrier électronique entre un préfixe dans le message ou l’en-tête. Pour pouvoir visualiser le message, le récepteur doit ensuite entrer la clé ou activer la clé préalablement enregistrée pour cet émetteur.
• Basé sur des règles. Les entreprises peuvent appliquer un cryptage automatique sur certaines catégories de mots clé comme des noms de personnes ou de sociétés, ou de nombres comme des numéros de sécurité sociale ou informations de cartes de crédit.

Vous connaissez désormais les fondamentaux du cryptage. Il ne vous reste plus qu’à rechercher quelles sont les méthodes de la liste ci-dessus appliquées par votre société. Vous pourrez alors discuter avec votre direction pour savoir si ces méthodes de cryptage sont suffisantes ou si les changements de stratégie de cryptage prévus ne risquent pas de mettre en danger la sécurité physique de votre entreprise.

Par Derek Scheips