Vie privée et cloud computing, de l’ignorance au respect

4 Août 2016

5 min de lecture

Le cloud computing, qui n’est autre qu’une délocalisation des infrastructures informatiques, permet de louer des serveurs selon un besoin (bande passante, puissance, stockage). Cette architecture offre de très nombreux avantages pour l’entreprise. En bénéficiant de ressources mutualisées, celle-ci accède à une puissance de calcul et un espace de stockage inatteignables au niveau individuel, et elle dispose d’une grande souplesse dans l’utilisation.

Vie privée et cloud computing, de l’ignorance au respect (Desktop)

Moins d’investissement, moins de compétences requises en interne, plus de puissance de calcul, plus de stockage, la capacité d’absorber des pics pour les activités cycliques... La formule semble idéale pour les entreprises, particulièrement pour les moins installées ou celles dont le cœur de métier n’est pas liée à l’exploitation de ces données.

Ces infrastructures dans le nuage ont une correspondance chez les utilisateurs : les fameux Software as a Service (SaaS), qui permettent de bénéficier d’une application sans avoir besoin de l’installer sur sa machine au préalable. La très grande majorité des internautes utilisent des SaaS, sans forcément le savoir. Les plus connus ? Google, Facebook et Twitter, qui fonctionnent eux aussi dans « le nuage ».

Cloud computing et vie privée

Mais le cloud computing n’a pas que des avantages. L'un des enjeux clefs relève du respect de la vie privée : lorsque les données sont envoyées, traitées et stockées sur des machines à distance, l’entreprise reçoit des informations personnelles sur l’utilisateur et, dans certains cas, des informations sensibles.

Prenez les devants et découvrez vite les 8 étapes clés de la cybersécurité.

Tout n’est pas complètement noir du point de vue de la protection de la vie privée. En effet, il vaut certainement mieux confier ses données à des entreprises spécialisées qui sauront les récupérer en cas de problème et mettre en place une équipe technique pour les protéger.

Il subsiste alors trois interrogations. Premièrement, les utilisateurs ont-ils conscience du risque porté sur leur propres données ? Deuxièmement, à quelles fins les entreprises utilisent-elles les données confiées par les particuliers ? Et enfin, comment trouver le juste équilibre quant aux risques encourus ? D'un côté, le risque de conserver ses données, sans forcément être compétent pour bien les protéger. D'un autre, le risque de confier ses données à une entreprise spécialisée mais qui est d’autant plus attractive pour des pirates qu’elle concentre une très grande quantité de données d’utilisateurs. Si les fuites font grand bruit et prouvent que la sécurité parfaite est inatteignable, il ne faut pas minimiser les très nombreux piratages de particuliers, dont beaucoup n’ont pas même conscience et qui ne font jamais la une des journaux.

Les deux premières interrogations sont traitées légalement ou contractuellement dans les conditions générales d’utilisation (CGU). Depuis sa création, Facebook a d'ailleurs fait évoluer ses CGU afin de rassurer le consommateur. Par ailleurs, la législation encadre les conditions d’utilisation des données, imposant par exemple de cocher une case pour confier l’exploitation de ses données (opt-in) ou d’informer (par exemple, par le biais de bannières expliquant aux internautes le rôle des cookies).

La troisième interrogation semble plus ardue, et le choix plus personnel, s'agissant d'une évaluation des risques que l’on est prêt à encourir et des arbitrages entre utiliser ou non des SaaS.

Une chose semble néanmoins indépassable dans l’absolu : le fait que le service qui opère le cloud ait accès à ces données. Les intérêts de l’architecture du cloud computing s’appuient justement sur le stockage et le traitement des données en dehors de son ordinateur. Et cet intérêt a grandi avec l’émergence des smartphones et de l’intérêt de pouvoir utiliser des applications et contenus quel que soit l’appareil sur lequel on se trouve.

La possibilité d’imprimer depuis son smartphone est également une innovation qui représente un défi en matière de sécurité, découvrez pourquoi.

Dépasser l’indépassable : réconcilier cloud et vie privée

La discorde entre le cloud et la vie privée n’est peut-être pas si indépassable. De récentes découvertes en cryptologie permettent d’anticiper une réconciliation. Cette réconciliation portera le nom de chiffrement homomorphe.

Aujourd’hui, la vie privée est protégée partiellement en cryptant les données stockées. Cela permet de réduire le risque sur les informations en cas de piratage. Néanmoins, pour permettre le traitement de ces données, il est aujourd’hui nécessaire que ces données soient décryptées par le serveur. Il semble impossible de demander à un serveur de répondre à la recherche d’un mot par l’utilisateur s’il ne peut pas retrouver le mot de manière clair.

Le chiffrement homomorphe permettrait de dépasser cette limite. Avant de vous expliquer son principe, comprenons son fonctionnement général.

Ce type de chiffrement s’inscrit dans la famille des cryptosystèmes asymétriques qui reposent sur l’existence de deux clefs : d'abord, une clef publique, que l’utilisateur peut distribuer à ses interlocuteurs (pensez à des instructions pour chiffrer un message secret) ; ensuite, une clef privée, pour déchiffrer les informations qu’il reçoit de ses interlocuteurs, qui ont utilisé sa clef publique (pensez à une façon de comprendre les instructions).

Ce type de cryptosystème est fondé sur le principe qu’il est impossible de découvrir la façon de comprendre le message caché (clef privée) à partir des instructions pour cacher le message (clef publique).

Le chiffrement homomorphe, c’est la capacité pour le détenteur de la clef publique, de pouvoir effectuer des calculs sur des messages préalablement chiffrés (alors qu'il traite aujourd’hui des messages en clair avant de les chiffrer avec la clef publique). Prenons un exemple pour bien saisir le principe.

Disons que Jean veut connaître le montant de l’impôt qu’il doit payer. Il déclare ses deux sources de revenus : 10 000 euros d’intérêts et 40 000 euros de salaires. Il aimerait obtenir la réponse mais ne dispose pas de la puissance de calcul nécessaire pour suivre toutes les règles fiscales.

Il chiffre ainsi ses deux nombres avec sa clef publique, 10 000 devient 938 et 4 000 devient 313.

Il transmet alors aux serveurs du fisc 938 et 313, accompagnés de sa clef publique. Le serveur calcule le produit homomorphe et trouve 39, il le renvoie à Jean, qui le décrypte avec sa clef publique et obtient le montant de son impôt.

La propriété remarquable du chiffrement homomorphe, c’est sa capacité à traiter des informations qu’il ne comprend pas. Préalablement, les informations pouvaient être transmises de manière cryptées, mais elles devaient être déchiffrées pour le traitement.

Le chiffrement homomorphe, nom savant qui rappelle nos cours de mathématiques, pourrait ainsi marquer un tournant dans l’ère du cloud computing. Les recherches sont encore en cours et il n’est pas pour l’heure généralisable. Il incarne toutefois une possibilité séduisante pour résoudre un dilemme fondamental du numérique contemporain : cloud computing ou vie privée ?

L’essor du cloud computing est lié à la mobilité croissante des employés, qui a révolutionné notre mode de travail. Consultez notre article sur les nouveaux défis de sécurité de la mobilité au travail.

Retrouvez les conseils stratégiques et incontournables pour protéger votre entreprise de la cybercriminalité. Téléchargez le guide HP "La cybersécurité et votre entreprise".

Willy Braun, co-fondateur de daphni, ex-directeur général de France Digitale et ex-rédacteur en chef de Brocooli.com

Cyber Security eBook