Les applications de chiffrement ont notamment pour objectif
d'assurer la confidentialité des données sensibles au niveau des canaux de communication
électronique. Au niveau des protocoles réseaux, il est en place depuis déjà plusieurs
années, notamment au travers de HTTPS généralisé par les architectures basées
sur des Web services.
"Le chiffrement des flux et des données métiers reste lui très
spécifique. S'il n'est pas intégré dès l'origine dans les applications métiers,
dont les progiciels, cela impose d'entreprendre des développements complémentaires
souvent complexes", ajoute Laurent Perruche.
 |
|
Logiciel Open Source Zfone pour le chiffrement de la VoIP
|
|
En ce qui concerne le chiffrement des messages électroniques,
la pratique est loin d'être systématique, voire reste rare lorsqu'il s'agit d'échanges
externes. "Les entreprises ne partagent pas les mêmes outils et la même PKI que
leurs partenaires. Il n'existe pas de solution universelle. Les solutions employées
permettent au destinataire de déchiffrer l'information avec le mot de passe qui
lui est communiqué. La plupart du temps, ce mot de passe est transmis en parallèle
du mail, par téléphone ou SMS. Plusieurs entreprises font appel aux outils bureautiques
pour assurer ce chiffrement, et notamment à Winzip", explique David Hozé, responsable
du département gouvernance de la sécurité chez Devoteam.
L'usage du chiffrement est en revanche plus répandu pour les
échanges internes. Les grands comptes s'appuient notamment sur une fonctionnalité
de Lotus Notes ou de Microsoft Exchange permettant d'adresser des emails sécurisés.
Les échanges sécurisés avec l'extérieur reposent plus souvent sur la création
de fichiers auto-déchiffrables.
Mais les communications, c'est aussi la téléphonie. Le GSM
dispose ainsi de son propre algorithme auquel se sont attaqués récemment deux
chercheurs. "Pour des raisons de sécurité, des entreprises ou administrations
peuvent faire le choix de doter leurs responsables de téléphones embarquant du
chiffrement sous forme d'une applet. Ainsi, de manière transparente, les conversations
seront chiffrées entre les utilisateurs disposant tous deux de cette technologie",
déclare Mauro Israel, RSSI auprès de Cyber Networks.
Du côté de la VoIP, le RSSI critique également les téléphones
physiques dont le chiffrement dépend du firmware. Ainsi dans la plupart des tests
d'intrusion, les communications ne sont pas chiffrées et peuvent être écoutées
à l'aide d'un simple Sniffer. Les softphones (VoIP logicielle) comportent en revanche
un chiffrement intégré. Pour sécuriser le protocole SIP, le créateur de PGP, Philip
Zimmermann a mis au point, en Open Source, une technologie : Zfone.