Gardez-vous vos clés de chiffrement sous le paillasson ?

Le point sur les vulnérabilités des clés de chiffrement, les modes opératoires employés par les pirates pour les voler, et les solutions afin de les protéger. 

Le chiffrement est le meilleur moyen de protéger des données privées, en évitant l'interception et la lecture d'informations commerciales sensibles par des pirates. Il empêche également les fuites de données en cas de perte ou de vol d'un équipement d'entreprise.

Cependant, avant d’être rassuré par la protection de vos données grâce au chiffrement, demandez-vous où vous conservez votre clé de chiffrement. Risque-t-elle d’être volée ? Serait-elle visible dans l’éventualité d’un piratage ? Nous abordons ici les vulnérabilités des clés de chiffrement, les modes opératoires employés par les pirates pour les voler et les solutions afin de vous en prémunir. 

Des pirates ne tenteront pas d’attaquer une clé de chiffrement en force. Aujourd’hui, les algorithmes de chiffrement répandus (ECC, AES, 3DES, RSA) génèrent des clés de manière à les rendre suffisamment compliquées à deviner. Par exemple, une clé créée au moyen d’AES (Advanced Encryption Standard) offre 1,15 x 1077 combinaisons possibles, c’est-à-dire 115 suivis de 75 zéros. AES est un algorithme de chiffrement symétrique choisi par l’administration américaine pour la protection des informations classées confidentielles. Les ordinateurs actuellement les plus puissants mettraient des millions d’années à déchiffrer les données ainsi protégées. Même en comprenant l’équation mathématique complexe qui rend ces données illisibles, il vous serait impossible de deviner la clé unique générée. 

C’est pourquoi, au lieu de chercher à deviner une clé, les pirates s’efforcent plutôt de la voler. Si une clé de chiffrement est conservée dans un logiciel sur votre système (ce qui revient à laisser la clé de votre porte d’entrée sous votre paillasson), il est alors relativement facile de la dérober. La raison tient à l’aspect de la clé de chiffrement : une suite de caractères aléatoires, utilisés par l’algorithme afin de coder les données. Une clé de chiffrement stockée dans un logiciel présente un motif aléatoire, à l’image de flocons de neige, identifiable par une analyse binaire des données. Si un pirate rencontre ce type de suite aléatoire, il peut avoir l’assurance d’avoir découvert une forme de clé de chiffrement, ce qui représente pour lui le jackpot, car il va pouvoir tester celle-ci pour déchiffrer vos données. 

Il est probable qu’une entreprise ne possède que quelques milliers de clés, un nombre suffisamment faible pour qu’un pirate parvienne à s’y attaquer. D’après différentes études, il s’écoule entre 160 et 260 jours avant qu’un pirate infiltré dans un système ne se fasse repérer. Lorsqu’une entreprise est visée, il y a de fortes chances que l’attaque provienne d’un groupe de pirates, ce qui démultiplie d’autant le temps disponible pour faire le lien entre vos clés et vos données. La menace est donc bien réelle. 

En théorie, si les pirates disposaient d’un ordinateur quantique, cela leur permettrait de lancer une attaque par force brute contre des clés de chiffrement. Comme l’indique un rapport récent du NIST (National Institute of Standards and Technology), "lorsque ce jour viendra, toutes les clés secrètes et privées protégées au moyen des algorithmes actuels à clé publique – ainsi que toutes les informations elles-mêmes protégées par ces clés – deviendront vulnérables". Notre secteur travaille d’ores et déjà sur des signatures et des clés de plus grande taille (par exemple en recourant à la segmentation des messages) afin de relever ce défi.

Pour en revenir au temps présent, une solution pour mettre votre clé de chiffrement à l’abri consiste à la stocker séparément. Un module de sécurité matériel (HSM) est un dispositif informatique physique qui assure la protection et la gestion des clés numériques, ainsi que d’autres fonctions de chiffrement. Un module HSM est conçu selon des critères très stricts élaborés par le NIST, précisément pour fournir le niveau ultime de sécurité en matière de chiffrement des données. Si un intrus pénètre dans votre réseau, le HSM ne lui est pas visible, par conséquent il n’est pas possible de voler la clé de chiffrement.

Le chiffrement est l’une des plus vieilles techniques du monde. Depuis des milliers d’années, et assez récemment encore, la méthode de chiffrement était considérée aussi secrète que la clé elle-même et le camp adverse cherchait à casser l’une et l’autre. L’un des défis auxquels se heurte aujourd’hui la protection des données tient au fait que, même si la plupart des professionnels de la sécurité sont conscients de la force d’un chiffrement normalisé grâce à une validation par les pairs, ils n’ont pas encore saisi l’importance singulière de protéger la clé. Or, cela pose problème car nos processus de chiffrement sont à présent devenus à ce point complexes qu’il est de fait impossible de les percer, si bien que les acteurs malveillants se concentrent exclusivement sur l’obtention des clés. 

C’est en effet extrêmement judicieux de leur part. Tout comme, dans le monde physique, un cambrioleur va passer en revue toutes les cachettes probables pour une clé, dans le monde numérique, un pirate va vérifier si votre clé de chiffrement est stockée dans un logiciel. Cette clé constitue votre élément de sécurité le plus précieux et doit faire l’objet d’une protection particulière : ne la laissez pas traîner !