Pourquoi il est impératif de sécuriser ses clouds

L’informatique dématérialisée a d’énormes avantages, mais elle pose de sérieux problèmes de sécurité et de confidentialité des données aux utilisateurs, chez eux ou dans leur entreprise.

Partager sur:
Sauvegarder cet article
Aimer cet article 0
By: -

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Pourquoi il est impératif de sécuriser ses clouds

Publié le 17 novembre 2017
- A +

Par Mark Warner.
Un article de The Conversation

Cet article est publié dans le cadre de la deuxième édition du Festival des idées, qui a pour thème « L’amour du risque ». L’événement, organisé par USPC, se tient du 14 au 18 novembre 2017. The Conversation France est partenaire de la journée du 16 novembre intitulée « La journée du risque » qui se déroule à l’Institut national des langues et civilisations orientales (Inalco).


Vous êtes adepte de Facebook, Snapchat, Gmail, Dropbox, Slack, Google Drive, Spotify ou Minecraft ? Tous, peut-être ? Quoi qu’il en soit, si vous utilisez un réseau social, un programme de messagerie, un service de stockage de données ou une plateforme de musique en ligne, il y a fort à parier que vous ayez recours au cloud computing (ou infonuagique en bon français).

Le cloud computing est un moyen d’avoir accès à des ressources partagées telles que des réseaux, des serveurs, du stockage, des applications et des services informatiques. Individus et entreprises peuvent mettre leurs données sur le cloud et bénéficier, gratuitement ou pour un coût relativement faible, d’un espace de stockage illimité. Il permet également aux entreprises de se décharger de certains services, comme la messagerie, et ainsi de réduire leurs coûts de développement et de maintenance.

Les atteintes à la protection des données sont quotidiennes

L’informatique dématérialisée a certes d’énormes avantages, mais elle pose de sérieux problèmes de sécurité et de confidentialité des données aux utilisateurs, chez eux ou dans leur entreprise. Pare-feux, virtualisation (utilisation de plusieurs systèmes d’exploitation ou applications en même temps) et politiques de règlementation tentent aujourd’hui de protéger leurs données. Néanmoins, les utilisateurs doivent souvent fournir aux prestataires de service des informations « en clair », c’est-à-dire sans aucune protection.

Par ailleurs, les logiciels et le matériel de l’informatique dématérialisée n’étant pas exempts de bugs, des informations sensibles peuvent être communiquées à d’autres utilisateurs, applications et tiers. D’ailleurs, les atteintes à la protection des données sont quotidiennes.

Les plus grandes fuites de données du XXIᵉ siècle.
CSO Online, CC BY

Le site de cybersécurité Csoonline.com a dressé la liste des 16 atteintes aux données les plus graves du XXIᵉ siècle. Elles se sont toutes produites au cours des 11 dernières années.

Yahoo! se retrouve en tête de liste. En septembre 2016, la société annonçait avoir été victime d’un piratage de grande ampleur deux ans plus tôt, concernant les noms, adresses e-mail et autres données de 500 millions d’utilisateurs. En décembre, l’entreprise revoyait ses estimations et déclarait qu’un milliard de comptes étaient concernés par une attaque survenue en 2013 (noms et mots de passe des utilisateurs mais aussi questions et réponses de sécurité).

En octobre 2017, Yahoo! a de nouveau révisé ses chiffres. Trois milliards de comptes auraient été compromis.

Lutter contre un nouveau type de menace

Dans le cadre d’un projet de recherche que je mène actuellement, nous tentons de sécuriser et protéger la confidentialité des données du cloud en utilisant un nouveau modèle de menace qui reflète plus fidèlement le côté ouvert, hétérogène et distribué de l’informatique dématérialisée. Ce modèle repose sur l’idée que les serveurs qui stockent et traitent les données dématérialisées des utilisateurs ne sont pas en mesure de préserver la confidentialité des résultats du traitement, ni d’exécuter correctement les restrictions d’accès. Il est aux antipodes du modèle classique des systèmes fermés des entreprises, qui part du principe que les serveurs sont fiables.

L’approche centrale de nos recherches consiste donc à intégrer des mécanismes de protection, tels que le chiffrement et l’authentification, dans les données elles-mêmes, afin de préserver leur confidentialité même si le cloud est compromis, tout en permettant aux personnes autorisées de continuer à accéder aux données partagées.

Protéger les données et leurs utilisateurs

Nous avons donc mis au point un ensemble de techniques de contrôle d’accès évolutives et de calculs de données chiffrées, et construit le prototype d’un système de messagerie sécurisé basé sur des attributs pour en démontrer la faisabilité. Conçu pour fournir une confidentialité de bout en bout pour les entreprises, il repose sur l’hypothèse que l’informatique dématérialisée ne garantit pas la confidentialité des messages des utilisateurs.

Pour comprendre comment il fonctionne, imaginez que vous déposez des objets de valeur dans une maison dont vous avez la clé. De temps à autre, vous voulez les entreposer chez des amis, où des inconnus sont susceptibles d’aller et venir. Chacun de vos amis possède une clé mais tous n’ayant pas les mêmes droits d’accès, celle-ci n’ouvre pas toutes les portes. Les droits d’accès et les jeux de clés sont gérés par une personne extérieure.

Imaginez-vous dans une maison, vos amis ont tous la clé d’entrée mais pas la clé de toutes les pièces.
Tom Cull/Flickr, CC BY

Pour protéger vos données et pénétrer dans un système informatique dématérialisé, le système vous fournit un jeu de clés séparé correspondant à votre statut d’accès.

Chaque utilisateur dispose d’une série d’attributs spécifiant ses droits à recevoir et décoder des messages. Par exemple, la série d’attributs d’Alice pourrait être « étudiante, école de commerce », tandis que ceux de Bob seraient « étudiant, école d’informatique ». Pendant l’étape d’enregistrement, le détenteur des clés délivre à chacun un code de chiffrement fondé sur ses attributs.

Pour envoyer un message sécurisé, l’utilisateur l’encode et génère une politique d’accès appropriée. Ce message chiffré est appelé « ciphertexte » ou texte chiffré. Seuls les utilisateurs dont les attributs correspondent à la politique d’accès du message peuvent le recevoir et le déchiffrer. Par exemple, si un message s’adresse à « tous les étudiants », Alice et Bob pourront y avoir accès et le lire. En revanche, si la politique d’accès du message est « étudiants en école de commerce », Bob ne le recevra pas.

Ce système est très efficace : un seul message est généré et distribué, quel que soit le nombre de destinataires, et il reste confidentiel même si le serveur de messagerie dématérialisé et les réseaux de communication sont ouverts.

Il a suscité beaucoup d’intérêt et nous espérons qu’il pourra rendre service aux personnes qui ont recours au stockage et à informatique dématérialisés, en leur garantissant une plus grande confidentialité.


The ConversationPour en savoir plus sur la chaire Axa en cybersécurité de Robert Deng sur les attaques informatiques et la protection des données sur les clouds, cliquez ici (en anglais). Cet article a été traduit de l’anglais par Sandrine Merle pour Fast for Word.

Robert Deng, Professor of Information Systems – School of Information Systems, Singapore Management University

La version originale de cet article a été publiée sur The Conversation.

Voir le commentaire (1)

Laisser un commentaire

Créer un compte Tous les commentaires (1)
  • « (ou infonuagique en bon français) ». bon français pas trop. en bon français ce serai plus infonubetique.

  • Les commentaires sont fermés.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Par François Jolain.

Article disponible en podcast ici.

Avec l’introduction d’OVH en bourse le 15 octobre dernier, il est temps de s'intéresser à l’écosystème du cloud en France. Nous verrons qu’OVH n’est pas seul. Le cloud français, même derrière les États-Unis, reste bien placé en Europe.

L'histoire d'OVH reflète l'histoire d'internet

OVH est devenu le leader du cloud en Europe. C’est une success-story à la française. Un jeune entrepreneur, Octabe Klaba décide de se lancer en 1999 dans le cloud. Il créa une société à Ro... Poursuivre la lecture

Par Yann-Maël Larher.

Le Big Data désigne les mégadonnées collectées par les entreprises de toutes les industries, analysées afin d’en dégager de précieuses informations. Loin d’être un simple effet de mode, les analyses des données ouvrent des perspectives nouvelles pour les entreprises, mais également pour les administrations. Tout d’abord, elles permettent de mieux écouter les utilisateurs, de mieux comprendre leurs comportements, d’affiner les offres qui leur sont destinées, et de créer de nouveaux produits. En France, l’usage des ... Poursuivre la lecture

0
Sauvegarder cet article

Par François Joslain.

Forbidden Stories et Amnesty International viennent de révéler le Projet Pegasus. Il s'agit d'un logiciel développé par la société israélienne NSO qui permet de pirater n’importe quel téléphone Android ou iPhone. Le téléphone se transforme ainsi en mouchard espionnant son propriétaire. Les victimes se comptent en dizaine de milliers, dont des chefs d’État comme Emmanuel Macron.

Le président Emmanuel Macron réunira jeudi matin un conseil de défense "exceptionnel dédié à l'affaire Pegasus... Poursuivre la lecture

Voir plus d'articles