Qu'elles concernent les transmissions
depuis le formulaire d'un site Web (avec SSL et HTTPS)
ou celles de documents bureautiques entre deux serveurs
de messagerie (avec PGP), les techniques de chiffrement
de données utilisées pour sécuriser
les communications sensibles relatives aux canaux externes
de l'entreprise sont désormais connues. Sans doute
pour rassurer les directions générales sur
la sécurité des points d'ouverture des systèmes
d'information sur Internet et le Web...
Cependant, le danger d'un piratage des données
doit également être évalué
sur un périmètre interne. Rien n'empêche
en effet un salarié de modifier le contenu d'une
base de données non protégée, qu'elle
soit relationnelle ou native XML.
Oracle
affiche une longueur d'avance
Publiée
en 1999, une étude réalisée par le
FBI en lien avec le Computer Security Institute affirme
que la vulnérabilité des données
est plus importante à l'intérieur d'une
entreprise qu'à l'extérieur. A l'heure de
la montée en puissance de la technologie du client-serveur,
55% des répondants à cette enquête
indiquent alors avoir déjà fait face à
ce type de problème. Principale cause pointée
du doigt : la possibilité d'accéder
à une base à distance, par le biais d'un
réseau local (LAN) par exemple, sans avoir à
s'identifier au sein du système d'exploitation
sous-jacent.
Cette faille serait encore partagée par la plupart
des grands moteurs relationnels - hormis celui Oracle
qui depuis un peu plus d'un an intègre directement des
fonctions de chiffrement. Un constat qui a conduit plusieurs
fournisseurs à mettre au point des outils visant
à combler ce manque (voir le tableau ci-dessous).
L'avis des
experts du CNRS sur la prise en charge du cryptage
dans les bases : "Lorsqu'elles
sont intégrées aux bases de données,
les solutions de chiffrement sont limitées dans
leur efficacité par deux contraintes majeures
: (i) le serveur doit déchiffrer localement
les données au moment d'évaluer une requête
d'interrogation (l'administrateur du SGBD peut
donc espionner les données en cours de déchiffrement)
et (ii) le grand volume de données stockées
facilite des attaques statistiques permettant
de casser la clé de chiffrement."
|
Prenez
garde à la gourmandise des outils
La plupart de ces
acteurs adossent leurs solutions à des algorithmes
de chiffrement dits à "clés secrètes". L'un
des tout premiers dispositifs de ce type n'est autre que
le fameux Data Encryption Standard (DES). Objectif affiché
par cette technologie : assurer un cryptage des contenus
d'une base sur l'ensemble des tables ou sur certaines
colonnes uniquement.
Ces opérations se
traduisent néanmoins par une chute du niveau
de performance des applications - ce que les fournisseurs
avouent d'ailleurs sans peine. Une conséquence
qui serait d'autant plus notable lors de l'exécution
de requêtes impliquant un très grand nombre
de lignes. Rançon d'un bon niveau de sécurité,
cette baisse de performance pourrait néanmoins
être limitée par la mise en oeuvre d'un
redimensionnement approprié de la puissance du
serveur machine sous-jacent ainsi que la définition
d'une méthodologie de chiffrement optimisée.
Un
domaine encore en chantier...
Apparues depuis quelques mois
au sein des systèmes d'entreprise, les bases de
données structurées autour du langage de
marquage XML, parmi lesquels on compte notamment Tamino
(Software AG) ou encore TextML (Ixiasoft), n'échappent
pas à cet enjeu. Une question particulièrement
critique pour cette
catégorie de plates-formes... qui ont tendance
à brouiller les frontières entre contenus,
structurés ou non, et référentiel
de données - ce qui complexifie l'élaboration
d'une couche de sécurité.
Pour l'heure, force est de constater que les produits
listés dans ce panorama ne s'étendent pas,
du moins pas encore, au support de bases natives XML...
Les
outils de chiffrement des bases de données
|
Editeur/produit
|
Algorithmes
de chiffrement
|
Plates-formes
supportées |
Andrey
Kubyshev
XP_CRYPT
|
DES,
DES3, AES, SHA1, RC5 et la technologie RSA. |
SQL
Server (Microsoft). |
Application
Security
DbEncrypt
|
DES,
DESX, triple DES, RC2, AES, Blowfish, Twofish, SHA1,
RSA, etc. |
Oracle,
SQL Server, DB2 (IBM) Sybase et Lotus Domino (IBM). |
BrainTree
Security Software
AppliGuard
|
Non-communiqué. |
Oracle,
SQL Server, Sybase. |
Computer
Associates
RC/Secure
|
Non-communiqué. |
DB2. |
IBM
Lotus
Notes
|
Algorithmes
RSA, RC2, RC4 et MD2. |
Oracle,
Sybase, Lotus Domino et SQL Server. |
Oracle
Oracle9i
|
DES,
triple DES et AES. |
Oracle9i. |
Protegrity
Secure.Data
|
SDES,
triple DES. |
Oracle,
DB2, SQL Server et Sybase. |
RSA
Bsafe
|
Technologies
propriétaires. |
Kit
de développement adapté à tous
types de solutions. |
SafeLogic
SafeAPI
|
Blowfish,
CAST, IDEA et algorithmes RSA. |
Toute
base de données SQL. |
Vanguard
Integrity Professionals
RioVision
|
Outil
s'appuyant sur la technologie d'IBM autour de la
sécurité (RACF). |
DB2. |
|