17 novembre 2017
5 minutes

Pourquoi il est impératif de sécuriser ses clouds

The Conversation

L’informatique dématérialisée a d’énormes avantages, mais elle pose de sérieux problèmes de sécurité et de confidentialité des données aux utilisateurs, chez eux ou dans leur entreprise.

Partager sur:
Sauvegarder cet article
Aimer cet article 0
By: -

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Pourquoi il est impératif de sécuriser ses clouds

Publié le 17 novembre 2017
- A +

Par Mark Warner.
Un article de The Conversation

Cet article est publié dans le cadre de la deuxième édition du Festival des idées, qui a pour thème « L’amour du risque ». L’événement, organisé par USPC, se tient du 14 au 18 novembre 2017. The Conversation France est partenaire de la journée du 16 novembre intitulée « La journée du risque » qui se déroule à l’Institut national des langues et civilisations orientales (Inalco).

Vous êtes adepte de Facebook, Snapchat, Gmail, Dropbox, Slack, Google Drive, Spotify ou Minecraft ? Tous, peut-être ? Quoi qu’il en soit, si vous utilisez un réseau social, un programme de messagerie, un service de stockage de données ou une plateforme de musique en ligne, il y a fort à parier que vous ayez recours au cloud computing (ou infonuagique en bon français).

Le cloud computing est un moyen d’avoir accès à des ressources partagées telles que des réseaux, des serveurs, du stockage, des applications et des services informatiques. Individus et entreprises peuvent mettre leurs données sur le cloud et bénéficier, gratuitement ou pour un coût relativement faible, d’un espace de stockage illimité. Il permet également aux entreprises de se décharger de certains services, comme la messagerie, et ainsi de réduire leurs coûts de développement et de maintenance.

Les atteintes à la protection des données sont quotidiennes

L’informatique dématérialisée a certes d’énormes avantages, mais elle pose de sérieux problèmes de sécurité et de confidentialité des données aux utilisateurs, chez eux ou dans leur entreprise. Pare-feux, virtualisation (utilisation de plusieurs systèmes d’exploitation ou applications en même temps) et politiques de règlementation tentent aujourd’hui de protéger leurs données. Néanmoins, les utilisateurs doivent souvent fournir aux prestataires de service des informations « en clair », c’est-à-dire sans aucune protection.

Par ailleurs, les logiciels et le matériel de l’informatique dématérialisée n’étant pas exempts de bugs, des informations sensibles peuvent être communiquées à d’autres utilisateurs, applications et tiers. D’ailleurs, les atteintes à la protection des données sont quotidiennes.

Les plus grandes fuites de données du XXIᵉ siècle.
CSO Online, CC BY

Le site de cybersécurité Csoonline.com a dressé la liste des 16 atteintes aux données les plus graves du XXIᵉ siècle. Elles se sont toutes produites au cours des 11 dernières années.

Yahoo! se retrouve en tête de liste. En septembre 2016, la société annonçait avoir été victime d’un piratage de grande ampleur deux ans plus tôt, concernant les noms, adresses e-mail et autres données de 500 millions d’utilisateurs. En décembre, l’entreprise revoyait ses estimations et déclarait qu’un milliard de comptes étaient concernés par une attaque survenue en 2013 (noms et mots de passe des utilisateurs mais aussi questions et réponses de sécurité).

En octobre 2017, Yahoo! a de nouveau révisé ses chiffres. Trois milliards de comptes auraient été compromis.

Lutter contre un nouveau type de menace

Dans le cadre d’un projet de recherche que je mène actuellement, nous tentons de sécuriser et protéger la confidentialité des données du cloud en utilisant un nouveau modèle de menace qui reflète plus fidèlement le côté ouvert, hétérogène et distribué de l’informatique dématérialisée. Ce modèle repose sur l’idée que les serveurs qui stockent et traitent les données dématérialisées des utilisateurs ne sont pas en mesure de préserver la confidentialité des résultats du traitement, ni d’exécuter correctement les restrictions d’accès. Il est aux antipodes du modèle classique des systèmes fermés des entreprises, qui part du principe que les serveurs sont fiables.

L’approche centrale de nos recherches consiste donc à intégrer des mécanismes de protection, tels que le chiffrement et l’authentification, dans les données elles-mêmes, afin de préserver leur confidentialité même si le cloud est compromis, tout en permettant aux personnes autorisées de continuer à accéder aux données partagées.

Protéger les données et leurs utilisateurs

Nous avons donc mis au point un ensemble de techniques de contrôle d’accès évolutives et de calculs de données chiffrées, et construit le prototype d’un système de messagerie sécurisé basé sur des attributs pour en démontrer la faisabilité. Conçu pour fournir une confidentialité de bout en bout pour les entreprises, il repose sur l’hypothèse que l’informatique dématérialisée ne garantit pas la confidentialité des messages des utilisateurs.

Pour comprendre comment il fonctionne, imaginez que vous déposez des objets de valeur dans une maison dont vous avez la clé. De temps à autre, vous voulez les entreposer chez des amis, où des inconnus sont susceptibles d’aller et venir. Chacun de vos amis possède une clé mais tous n’ayant pas les mêmes droits d’accès, celle-ci n’ouvre pas toutes les portes. Les droits d’accès et les jeux de clés sont gérés par une personne extérieure.

Imaginez-vous dans une maison, vos amis ont tous la clé d’entrée mais pas la clé de toutes les pièces.
Tom Cull/Flickr, CC BY

Pour protéger vos données et pénétrer dans un système informatique dématérialisé, le système vous fournit un jeu de clés séparé correspondant à votre statut d’accès.

Chaque utilisateur dispose d’une série d’attributs spécifiant ses droits à recevoir et décoder des messages. Par exemple, la série d’attributs d’Alice pourrait être « étudiante, école de commerce », tandis que ceux de Bob seraient « étudiant, école d’informatique ». Pendant l’étape d’enregistrement, le détenteur des clés délivre à chacun un code de chiffrement fondé sur ses attributs.

Pour envoyer un message sécurisé, l’utilisateur l’encode et génère une politique d’accès appropriée. Ce message chiffré est appelé « ciphertexte » ou texte chiffré. Seuls les utilisateurs dont les attributs correspondent à la politique d’accès du message peuvent le recevoir et le déchiffrer. Par exemple, si un message s’adresse à « tous les étudiants », Alice et Bob pourront y avoir accès et le lire. En revanche, si la politique d’accès du message est « étudiants en école de commerce », Bob ne le recevra pas.

Ce système est très efficace : un seul message est généré et distribué, quel que soit le nombre de destinataires, et il reste confidentiel même si le serveur de messagerie dématérialisé et les réseaux de communication sont ouverts.

Il a suscité beaucoup d’intérêt et nous espérons qu’il pourra rendre service aux personnes qui ont recours au stockage et à informatique dématérialisés, en leur garantissant une plus grande confidentialité.

The ConversationPour en savoir plus sur la chaire Axa en cybersécurité de Robert Deng sur les attaques informatiques et la protection des données sur les clouds, cliquez ici (en anglais). Cet article a été traduit de l’anglais par Sandrine Merle pour Fast for Word.

Robert Deng, Professor of Information Systems – School of Information Systems, Singapore Management University

La version originale de cet article a été publiée sur The Conversation.

Voir le commentaire (1)

Laisser un commentaire

Créer un compte Tous les commentaires (1)
  • Avatar
    23 novembre 2017 at 15 h 33 min

    « (ou infonuagique en bon français) ». bon français pas trop. en bon français ce serai plus infonubetique.

    0

    • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don
0
Sauvegarder cet article
19 octobre 2023

Démocraties sous surveillance : quand la liberté cède le pas à la sécurité

Yannick Chatelain
Yannick Chatelain
5 minutes

Si nous constatons que le régime fédéral de Russie - au regard de sa répression de toute forme d’opposition, de sa surveillance de plus en plus étroite de sa population - est de plus en plus souvent considéré par certains observateurs, comme non plus autoritaire, mais totalitaire -  ces constats devraient faire réfléchir les citoyens des pays aujourd’hui démocratiques qui, certes pas à la même échelle, multiplient les outils de surveillance des citoyens.

Si le pas entre régime autoritaire et totalitaire peut être franchi, celui d’un ré... Poursuivre la lecture

Image générée par IA
0
Sauvegarder cet article
17 juillet 2023

Comment protéger les données des mineurs sur internet ?

François Jolain
2 minutes

Internet rend toutes vos données publiques et éternelles. Or, chaque donnée peut vous porter préjudice ultérieurement.

Dans cet article, nous examinerons les mesures que vous pouvez prendre pour protéger les données de vos enfants et garantir leur sécurité en ligne.

 

Sensibiliser au risque

Les données alimentent notre traçage sur internet, et parfois des trafics douteux.

On trouve sur internet des reventes massives de comptes Facebook ou Instagram, de cartes bancaires pirates ou des photos illégales. De pl... Poursuivre la lecture

hacker
0
Sauvegarder cet article
1 juillet 2023

Cyberattaques dans les hôpitaux, universités, administrations… Comment mieux résister ?

The Conversation
3 minutes

Par Mohammed Chergui-Darif et Bruno Tiberghien.

 

Collectivités territoriales, administrations publiques, hôpitaux, écoles et universités, aucune de ces organisations publiques n’est à l’abri des cyberattaques, que la Défense française définit comme :

« (toute) action volontaire, offensive et malveillante, menée au travers du cyberespace et destinée à provoquer un dommage (en disponibilité, intégrité ou confidentialité) aux informations ou aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils son... Poursuivre la lecture

Voir plus d'articles