La cryptographie ne s’improvise pas !

octobre 2017 par  Emmanuelle Lamandé

La cryptographie est devenue indispensable pour préserver la confidentialité des données sensibles ou permettre l’authentification et la protection des échanges dans l’espace numérique. Toutefois, cette « science du secret » ne s’improvise pas. Elle doit faire l’objet de nombreux points de vigilance au sein des entreprises, à commencer par le choix des outils cryptographiques, leur déploiement et leur gestion dans le temps. Véronique Loquet, Consultante, ouvre le débat lors des Assises de la Sécurité, à l’occasion d’une table ronde dédiée.

 

Pour Thierry Autret, Délégué général du CESIN, tout RSSI doit aujourd’hui avoir connaissance des fondamentaux en matière de cryptographie, des différents types d’algorithmes existants et de leurs usages. En effet, bien que ce ne soit pas a priori son domaine d’expertise, un RSSI doit connaître les basics dans ce domaine et savoir a minima : 

  •  Pour quels usages chaque certificat est-il fait ? 
  •  Quels sont les certificats qui correspondent réellement à ses besoins ? 
  •  Où est-il préférable de les acheter ? 
  •  Comment les renouveler ? 
  •  Qui détient les clés de chiffrement et assure le rôle de tiers de confiance ? 
  •  De quelle manière assurer la gestion du cycle de vie de ses systèmes cryptographiques ? 
  •  Etc.

L’usage de la cryptographie doit pouvoir s’imaginer dans le temps

Toute une éducation reste encore à faire dans bon nombre d’entreprises concernant ces problématiques. De plus, l’usage de la cryptographie doit pouvoir s’imaginer dans le temps. Par exemple, si j’utilise aujourd’hui un système de signature électronique à des fins légales, il faut être capable de fournir la preuve de l’intégrité de la clé pendant 30 ans. Mais quelle valeur les algorithmes choisis à l’heure actuelle auront-ils dans 30 ans ? C’est pourquoi la gestion du cycle de vie des systèmes cryptographiques est essentielle, et le choix de ses algorithmes aussi.

Il n’est pas toujours évident pour une entreprise de savoir comment choisir tel ou tel algorithme, déplore Renaud Lifchitz, Information Security Consultant, Digital Security, et parfois ces choix, bien que stratégiques se font sans faire appel à des experts, comme par exemple la préférence du WEP pour le Wifi. C’est un véritable problème aujourd’hui. De plus, nous sommes actuellement beaucoup sous l’influence américaine en la matière. La question est de savoir si les américains n’ont pas intérêt à baisser leur niveau de cryptographie ou y installer une backdoor pour pouvoir plus facilement espionner les données qui transitent… Une autre interrogation se pose concernant les organismes qui choisissent les algorithmes et les standards aujourd’hui. Ne faudrait-il créer notre propre agence en ce domaine ?

Le déploiement des clés de chiffrement, trop souvent source d’erreurs

Notre métier est justement de détecter les failles de sécurité implémentées dans les systèmes de cryptographie, explique Graham Steel, CEO de Cryptosense. En effet, même si une technologie de cryptographie est sûre, une erreur dans le déploiement de cette dernière la rend vulnérable. D’ailleurs, plus de la moitié des erreurs se font dans la phase de déploiement, notamment des clés de chiffrement, et non de conception.

Pour lui, tout RSSI, même s’il ne deviendra pas un expert en cryptographie, doit connaître un minimum d’informations concernant ses systèmes de chiffrement et de gestion des clés, mais aussi poser les bonnes questions à ses différents fournisseurs. Pourtant, la gestion de clés reste un sujet délicat, souvent mal appréhendé par les entreprises.

En ce qui concerne les systèmes actuels, nos experts estiment que si on double la taille des clés de chiffrement symétrique, on devrait être tranquille dans les années à venir. Pour ce qui est du chiffrement asymétrique, on pourra commencer à s’inquiéter en matière de clés dans 10/15 ans. Mais, quoi qu’il en soit, différents chercheurs travaillent actuellement sur les systèmes de cryptographie futurs. Le NIST a, par exemple, lancé un appel pour le développement de clés post-quantiques. Les résultats doivent être publiés en fin d’année.

Effectivement, plusieurs familles de cryptosystèmes sont susceptibles de remplacer nos systèmes actuels, explique Renaud Lifchitz. Parmi elles, la cryptographie quantique peut être une solution pour certains cas d’usages. Toutefois, nous restons actuellement dans de la cryptographie point à point, ne permettant pas d’établir d’importants réseaux. Ce n’est donc pas encore à l’heure actuelle la technologie miracle.

IoT : un défi majeur en matière de chiffrement

L’Internet des Objets représente également un défi majeur en matière de chiffrement, car pour l’instant exempt de toute sécurité. Etant donné l’évolution de notre société vers ces objets connectés, il est aujourd’hui indispensable de construire un système de confiance dédié. Pour ce faire, il faut repenser les systèmes de chiffrement classiques de manière à les miniaturiser et les adapter à ces objets, qui bénéficient d’une puissance et d’une autonomie réduites.

De plus, comme l’expliquent nos experts, la conception de systèmes cryptographiques est une chose, leur déploiement en est une autre. Il s’avère, en effet, très facile de commettre des erreurs lors du déploiement, qui reste d’ailleurs aujourd’hui le principal écueil en matière de cryptographie. En outre, certains points de vigilance s’imposent ! Par exemple, plus on se sert de clés de chiffrement, plus on donne de capacités d’analyse aux attaquants, d’où l’importance de les renouveler régulièrement. De plus, il existe différents outils cryptographiques qui s’adaptent en fonction des usages, pas une seule et unique solution miracle.

En conclusion, il est aujourd’hui indéniable que la cryptographie est indispensable pour assurer la confiance. Toutefois, pour être efficiente, un certain nombre de points de vigilance doivent être respectés. Il est essentiel pour un RSSI de savoir où sont ses données, et avec quels systèmes elles sont chiffrées. Il est également important de connaître les différents types d’algorithmes, les avantages et les limites de chacun, mais aussi savoir lesquels sont les plus appropriés à tel ou tel besoin, se tenir informé des avancées en la matière, rester vigilant quant à la gestion des clés. Enfin, la cryptographie ne s’improvise pas, c’est un métier. Donc si vous n’êtes pas expert en la matière, ne faites rien sans faire appel à un spécialiste.