La sécurité des données n’est pas seulement importante pour des raisons commerciales, mais aussi pour se conformer aux nouvelles législations telles que le Règlement Général sur la Protection des Données.
Il existe une vaste gamme de mesures de sécurité des données disponibles, mais lorsqu’il s’agit de protéger vos données, l’une des meilleures options consiste à utiliser le cryptage afin que, si jamais des fichiers tombent entre de mauvaises mains, les données ne puissent pas être lues. Mais de quoi s’agit-il et comment le cryptage protège-t-il les données ?
Comprendre le chiffrement
Lorsque vous commencez à vous intéresser au chiffrement, vous rencontrerez un certain nombre de termes différents, et peut-être inconnus. Avant de continuer, nous devons en examiner certaines et comprendre ce qu’elles signifient et comment elles vous affectent.
Explorons quelques-unes des façons dont le chiffrement fonctionne.
L’une des approches les plus courantes pour chiffrer des fichiers ou des communications Web consiste à utiliser un certificat; un fichier binaire utilisé pour chiffrer des informations. Le certificat contient des détails sur le sujet, ainsi qu’une clé publique utilisée à des fins de cryptage.
Ces certificats peuvent être générés par vous-même ou ils peuvent être émis par une autorité de certification. Ceux qui sont émis par une autorité sont généralement utilisés pour protéger les sites Web et un processus de vérification est utilisé pour s’assurer que l’entreprise qui utilise le certificat est légitime et qu’elle est bien celle qu’elle prétend être.
L’autre chose que vous rencontrerez, ce sont les clés. Ceux-ci sont divisés en public et privé. Une clé privée est utilisée pour signer numériquement des communications afin de prouver leur authenticité ou elle peut être utilisée pour déchiffrer des données qui ont été chiffrées à l’aide de la clé publique correspondante. Votre clé privée doit toujours rester privée; dans de nombreux cas, elle est protégée par un mot de passe ou un code PIN pour empêcher toute utilisation non autorisée. L’autre côté de la médaille est la clé publique. Ceci est utilisé pour vérifier une signature numérique ou pour chiffrer les données envoyées au propriétaire de la clé publique. Vous pouvez partager votre clé publique avec d’autres personnes ou la publier dans des répertoires en ligne ou dans des certificats pour permettre aux utilisateurs de vous envoyer des messages cryptés.
Dans le monde du chiffrement, vous pouvez également rencontrer des hachages. Ce sont des fonctions mathématiques unidirectionnelles qui créent une valeur unique qui est utilisée pour vérifier l’intégrité des données, mais pas pour les sécuriser. Les hachages sont souvent combinés avec des sels (pas de panique, vous n’êtes pas tombé sur un site de recettes) pour rendre le chiffrement plus sécurisé en rendant le schéma de chiffrement unique. Ils peuvent donc renforcer un schéma de cryptage faible.
Lorsque vous utilisez Internet et que vous voyez le symbole du cadenas pour indiquer qu’un site est sécurisé, cela indique que le site crypte les données en transit. Cela se fait généralement en utilisant Secure Socket Layer (SSL), bien que plus récemment, il y ait eu un passage à la sécurité de la couche de transport (TLS) qui utilise des algorithmes plus puissants pour un cryptage plus efficace.
Données stockées
Alors, comment le cryptage protège-t-il les données lorsqu’elles se trouvent sur vos serveurs? Les données stockées sur un disque, appelées données au repos, sont menacées en cas de vol du disque ou d’accès au système par une partie non autorisée. Le cryptage peut être utilisé pour s’assurer que les données restent sécurisées même si le système est physiquement accessible. Si le pirate n’a pas la clé pour le déchiffrer, les données contenues dans les fichiers sont inutiles. Il est donc important que la clé soit stockée ailleurs ou protégée par un code PIN fort, un mot de passe ou un système d’authentification matérielle.
Dans la plupart des cas, le chiffrement au repos utilise ce qu’on appelle un algorithme symétrique afin que les données puissent être rapidement chiffrées et déchiffrées selon les besoins. La dernière chose que vous voulez, c’est que le cryptage ralentisse les performances de vos systèmes. La clé elle-même doit cependant être protégée. Pour cela, vous pouvez utiliser un code PIN, ou un mot de passe, ou un système plus sophistiqué tel qu’un certificat détenu sur une carte à puce. Si la clé est correctement protégée, il devient presque impossible pour un attaquant d’accéder aux fichiers.
Une autre façon de protéger les fichiers au repos consiste à hacher des algorithmes pour calculer leur valeur et la comparer ultérieurement pour détecter toute modification apportée aux données. Ces sommes de contrôle ou hachages sont souvent utilisés pour valider les fichiers qui ont été téléchargés sur Internet, s’assurant ainsi qu’ils sont la bonne version. De plus en plus, les hachages sont utilisés dans les enquêtes médico-légales pour s’assurer que les copies faites de disques durs sont un fac-similé exact de l’original.
Si vous avez des supports qui quittent le bureau, par exemple des sauvegardes hors site, des ordinateurs portables ou des clés USB, le cryptage sur ces périphériques devrait être rendu obligatoire pour sécuriser les données. Il existe des disques externes disponibles dotés de claviers intégrés ou de lecteurs d’empreintes digitales qui facilitent l’application du cryptage. Pour une sécurité maximale, vous devez également crypter les données sur vos serveurs. Cela le protège des activités d’initiés malveillants et présente l’avantage supplémentaire que si vous devez remplacer un lecteur, vous n’avez pas à vous soucier de la possibilité de récupérer des données de l’ancien.
Données en mouvement
Alors, comment le cryptage protège-t-il les données lorsqu’elles sont en transit? Premièrement, il est important de définir ce que nous entendons par données en transit. Essentiellement, il s’agit de toutes les données auxquelles on accède via un réseau et qui ont donc le potentiel d’être interceptées par quelqu’un d’autre accédant à ce même réseau. Cela peut être un réseau interne ou Internet.
Sur les réseaux sans fil, vous pouvez vous protéger contre les accès non autorisés en cryptant tout le trafic sur le réseau. La plupart des routeurs disposent désormais d’un cryptage WPA (WiFi protected access) prêt à l’emploi, mais les réseaux professionnels peuvent être protégés davantage en utilisant WPA2 Enterprise. Les réseaux publics comme ceux que l’on trouve dans les cafés ou les hôtels ne sont pas protégés, vous devez donc vous méfier de les utiliser pour accéder à des informations confidentielles.Les niveaux de protection
peuvent être encore améliorés en adoptant des protocoles de communication plus sécurisés. Les protocoles Internet standard tels que HTML, FTP et POP ne sont pas sécurisés et le trafic peut facilement être lu s’il est intercepté. Vous pouvez protéger les informations en utilisant SSL ou TLS, comme décrit ci-dessus, ou des protocoles, y compris le protocole de transfert de fichiers sécurisé FTP (SFTP). Lorsque les données sont cryptées en transit de cette manière, elles ne sont menacées que si la clé est compromise.
Le cryptage des données en transit fonctionne de différentes manières. Dans certains cas, il utilise un cryptage symétrique qui nécessite une clé de session fixe, mais la plupart des systèmes modernes utilisent un certificat et un cryptage asymétrique. Cela signifie qu’une clé de session est échangée en toute sécurité au début de la session, puis utilisée pour fournir le chiffrement et le déchiffrement les plus rapides. Avec SSL ou TLS, par exemple, les certificats sont utilisés pour échanger les clés publiques au début de la session. Les clés publiques sont ensuite utilisées pour échanger en toute sécurité les clés privées. Cela rend le trafic presque impossible à lire pour les pirates.
De nombreux protocoles chiffrés incluent également un algorithme de hachage pour vérifier que les données n’ont pas été modifiées en transit. Cela peut aider à vaincre les attaques dites de l’homme du milieu (MitM), car si un pirate déchiffre et crypte à nouveau des données, la signature aura changé même si les données ne l’ont pas été.
Les attaques MiTM impliquent des attaquants qui vous incitent à les utiliser comme proxy, ou qui vous obligent à ignorer un avertissement de certificat afin que vous fassiez confiance à leur certificat plutôt qu’à un vrai. C’est l’une des raisons pour lesquelles l’utilisation de certificats d’une autorité tierce est importante et pourquoi lorsque votre logiciel vous avertit qu’un certificat n’est pas fiable, vous ne devez pas l’accepter.
Idéalement, le cryptage en transit devrait être obligatoire pour tout trafic réseau transportant des données privées. De nombreuses entreprises choisissent désormais de crypter leurs sites Web publics et vous verrez de plus en plus HTTPS apparaître dans les adresses Web. En utilisant le cryptage des données – au repos et en transit – vous pouvez vous assurer que vos informations sont conservées en sécurité et que votre personnel et vos clients seront sûrs que toutes leurs informations sont protégées.