Pourquoi il faut améliorer la sécurité du « cloud computing »

Utilisez-vous souvent Facebook ? Et Snapchat, Gmail, Dropbox, Slack, Google Drive, Spotify ou Minecraft ? Peut-être tout cela à la fois ? En résumé, si vous utilisez un réseau social en ligne, un programme de messagerie électronique, un service de stockage de données ou une plateforme musicale, vous utilisez presque certainement l’informatique en nuage.

L’informatique en nuage est un moyen de donner accès à des ressources partagées, telles que des réseaux informatiques, des serveurs, du stockage, des applications et des services. Les particuliers et les organisations peuvent placer leurs données sur le nuage et bénéficier d’un stockage illimité gratuitement ou à un coût relativement faible. Il permet également de décharger des services tels que le courrier électronique, réduisant ainsi les coûts de développement et de maintenance des entreprises.

Des violations de données se produisent chaque jour

Malgré les avantages considérables de l’informatique dématérialisée, la sécurité et la confidentialité des données sont probablement les principales préoccupations des particuliers et des organisations. Les efforts actuels pour protéger les données des utilisateurs comprennent des mesures telles que les pare-feu, la virtualisation (exécution simultanée de plusieurs systèmes d’exploitation ou applications) et même des politiques réglementaires. Pourtant, les utilisateurs doivent souvent fournir des informations aux fournisseurs de services « en clair », c’est-à-dire des données en texte clair sans aucune protection.

De plus, comme les logiciels et le matériel de l’informatique en nuage sont loin d’être exempts de bogues, les informations sensibles peuvent être exposées à d’autres utilisateurs, applications et tiers. En fait, des violations de données dans les nuages se produisent tous les jours.

Le site web de cyber-sécurité Csoonline.com a dressé une liste de 16 des plus grandes violations de données du 21e siècle, toutes survenues au cours des 11 dernières années.

En tête de liste, on trouve Yahoo. En septembre 2016, l’entreprise a annoncé qu’elle avait été victime d’une énorme violation de données en 2014 – des noms, des adresses électroniques et d’autres données appartenant à un demi-milliard d’utilisateurs ont été piratés. Au mois de décembre suivant, Yahoo a révisé son estimation, et a déclaré qu’un milliard de comptes avaient été piratés en 2013. Outre les noms et les mots de passe, les questions et réponses de sécurité des utilisateurs ont également été compromises.

En octobre 2017, Yahoo a encore une fois révisé son estimation du nombre de comptes compromis. Au lieu de cela, il s’agissait en fait de 3 milliards.

Lutter contre un nouveau modèle de menace

Dans le cadre d’un projet de recherche que je dirige, nous cherchons à assurer la sécurité des données en nuage et la protection de la vie privée dans le cadre d’un nouveau modèle de menace qui reflète plus fidèlement la nature ouverte, hétérogène et distribuée de l’environnement en nuage. Ce modèle part du principe qu’il ne faut pas faire confiance aux serveurs en nuage, qui stockent et traitent les données des utilisateurs, pour préserver la confidentialité des données des utilisateurs et des résultats du traitement, ni même pour appliquer correctement les limitations d’accès. Il s’agit d’un changement radical par rapport au modèle traditionnel de menace pour les systèmes informatiques fermés des entreprises, qui suppose que l’on peut faire confiance aux serveurs.

L’approche centrale de notre recherche consiste donc à intégrer des mécanismes de protection, tels que le cryptage et l’authentification, dans les données elles-mêmes. De cette façon, la sécurité et la confidentialité des données sont préservées même si le nuage lui-même est compromis, tout en permettant aux personnes autorisées d’accéder aux données partagées et de les traiter.

Protéger les données et leurs utilisateurs

Dans le cadre de notre projet de recherche, nous avons créé une suite de techniques pour le contrôle d’accès évolutif et le calcul de données cryptées dans le nuage. Nous avons également construit un système de messagerie sécurisée basé sur les attributs comme prototype de preuve de concept. Le système est conçu pour assurer la confidentialité de bout en bout pour les utilisateurs de l’entreprise, et est construit sur l’hypothèse que le nuage lui-même ne garde pas nécessairement les messages des utilisateurs confidentiels.

Pour comprendre comment cela fonctionne, imaginez que vous déposez des objets de valeur dans une maison dont vous avez la clé et que, de temps en temps, vous voulez déplacer ces objets chez d’autres amis où des personnes inconnues peuvent aller et venir. Chacun de vos amis conserve sa clé, mais tous n’ont pas les mêmes privilèges d’accès : leurs clés ne peuvent ouvrir que certaines maisons en fonction de l’accès dont ils disposent. Ces privilèges et jeux de clés sont gérés par un maître des clés qui se trouve ailleurs.

Chaque utilisateur du système possède un ensemble d’attributs qui spécifie ses privilèges pour recevoir et décrypter des messages. Par exemple, l’ensemble d’attributs d’Alice peut être « étudiant, école de commerce » tandis que celui de Bob est « étudiant, école de systèmes d’information ». Lors de l’enregistrement de l’utilisateur, le maître des clés délivre à chaque personne un code de décryptage basé sur ses attributs.

Pour envoyer un message en toute sécurité, un utilisateur le crypte et la politique d’accès appropriée est jointe. Le message crypté est appelé texte chiffré. Seuls les utilisateurs dont les attributs correspondent à la politique d’accès d’un message peuvent le recevoir et le décrypter. Par exemple, si un message est destiné à « tous les étudiants », Alice et Bob peuvent tous deux le recevoir et le déchiffrer. En revanche, si la politique d’accès d’un autre message est « étudiants de l’école de commerce », seuls ces étudiants (c’est-à-dire Alice mais pas Bob) peuvent le recevoir et le déchiffrer.

Le système est très efficace : un seul message est généré et délivré, quel que soit le nombre de destinataires, et il assure la confidentialité même si le serveur de messagerie en nuage et les réseaux de communication sont ouverts.

Notre système a suscité un grand intérêt et nous espérons qu’il pourra aider les gens à utiliser le stockage et l’informatique en nuage de manière plus sûre.