La cryptographie a naturellement trouvé sa place dans les services dédiés à la confiance numérique. Qu'il s'agisse de signature électronique ou de coffre-fort numérique, les mécanismes cryptographiques contribuent à sécuriser les outils destinés aux entreprises, mais aussi aux particuliers.
Attention à ne pas confondre cryptographie et cryptologie ! La première désigne « un ensemble de techniques de chiffrement qui assurent l'inviolabilité de textes et, en informatique, de données » (Larousse). La deuxième, quant à elle, est « la science des écritures secrètes et des documents chiffrés ». La cryptographie n'est donc que l'une des disciplines de la cryptologie qui compte par ailleurs la cryptanalyse : cette technique permet de décrypter les messages chiffrés.
Alain Borghesi, PDG de Cecurity.com, est encore plus précis : « Les mécanismes cryptographiques recouvrent les fonctions de hachage, contremarques de temps, signatures ou cachets électroniques. Ces mécanismes cryptographiques sont au coeur de toutes les solutions d'archivage électronique probant, car ils concourent à l'intégrité des contenus numériques. S'y ajoutent les fonctions cryptographiques à de fins de chiffrement. Elles participent dans ce cas à la confidentialité des données, à la conservation sécurisée des actifs numériques. La cryptographie ne se résume donc pas au seul chiffrement. En revanche, le chiffrement des objets numériques repose sur la cryptographie ».
Attention aux leurres !
D'abord utilisées dans les domaines diplomatique et militaire [voir encadré], les techniques cryptographiques se sont largement répandues dans les applications dédiées à la confiance numérique. C'est notamment le cas des solutions de signature électronique qui font appel à deux concepts de cryptographie : le hachage (ou calcul d'empreinte) et la cryptographie asymétrique. « La fonction de hachage est une fonction à sens unique qui permet, à partir d'un document, d'en obtenir un condensé de taille réduite qui dépend de l'ensemble des bits contenus dans le document d'origine, explique la FNTC ; à partir d'une empreinte, il est impossible de reconstituer un document qui lui correspondrait. Les fonctions de hachage sont très dépendantes de l'entrée : ainsi, deux documents très proches auront des empreintes très différentes ».
La cryptographie asymétrique, quant à elle, permet de chiffrer avec un mot de passe et de déchiffrer avec un autre, les deux mots de passe étant indépendants.
Avec de tels protocoles, on pourrait penser que ces applications assurent un niveau de sécurité maximal. « Attention aux leurres !, avertit Alain Borghesi ; le chiffrement concourt à la confidentialité des données puisque les documents deviennent alors uniquement accessibles aux détenteurs des clés de déchiffrement. Reste à savoir si ces clés de déchiffrement sont détenues par l’utilisateur ou par l’opérateur technique. Selon la réponse à cette question, le niveau de confidentialité ne sera pas le même. Le fait d’invoquer le chiffrement ne suffit évidemment pas à garantir la confidentialité ».
Montée en qualité des coffres-forts numériques
Autre service à utiliser le chiffrement, le coffre-fort numérique est de plus en plus souvent proposé aux particuliers comme aux entreprises. Au mois de septembre 2016, la société Cecurity.com a été la première à recevoir le label de la Cnil en tant qu'opérateur et fournisseur de service de coffre-fort électronique. L'attribution de ce label témoigne d'une montée en qualité des coffres-forts numériques. Car, par le passé, la Cnil n'a pas toujours été tendre avec les solutions disponibles sur le marché. En 2013, la Commission pointait les insuffisances du marché : « En analysant les solutions de coffre-fort disponibles sur le marché, la Cnil a constaté que la majorité des services de coffres-forts numériques n’étaient pas suffisamment sécurisés »...
Aujourd'hui, la Cnil poursuit l'instruction des demandes provenant d'autres opérateurs et fournisseurs de coffres-forts numériques.
Loi pour une République numérique
Les techniques de chiffrement peuvent également être appliquées aux documents dont on souhaite restreindre l'accès. Cela concerne aussi bien les organisations que les particuliers. Dans le cas de certains services publics, cela est même fortement conseillé pour éviter la mésaventure arrivée à la police de Manchester (Grande-Bretagne). Cette dernière a en effet été condamnée à une amende de 120 000 livres (environ 138 000 euros) pour s'être fait voler une clé USB non chiffrée. Or celle-ci contenait les données d'un millier de personnes impliquées dans des affaires criminelles...
Les particuliers, quant à eux, sont invités par la Cnil à recourir au chiffrement afin de réduire les risques liés à l'usurpation d'identité : « La captation de documents ou d’informations personnelles peut permettre à des personnes malveillantes d’utiliser ces informations à votre insu, par exemple pour souscrire en votre nom à un crédit, un abonnement, commettre des actes répréhensibles ou nuire à votre réputation ». La Commission nationale de l'informatique et ees libertés préconise notamment d'utiliser des logiciels gratuits comme AxCrypt ou 7Zip : « Ces logiciels utilisent un chiffrement symétrique. Pour lire le fichier, il faudra que le destinataire connaisse le mot de passe utilisé comme clé de chiffrement. Il faudra donc le lui envoyer », précise la Cnil.
La cryptographie s'invite donc partout. Jusque dans la récente loi pour une République numérique du 7 octobre 2016. L'article 34 précise le cadre d'utilisation de la cryptographie et confie à la Cnil de nouvelles missions qui seront suivies de près par les acteurs de la confiance numérique.
+ repères
Che Guevara, quand la révolution passe par la cryptographie !
C'est un aspect méconnu de la personnalité d'Ernesto Che Guevara. Alors engagé dans une guérilla en Bolivie, le révolutionnaire marxiste utilisait une procédure chiffrée pour communiquer avec Fidel Castro qui se trouvait à plusieurs milliers de kilomètres à Cuba. Il avait d'abord recours à une opération simple qui consiste à remplacer une lettre par un nombre : A = 06, I = 39, S = 02... « En soi, cela ne constitue qu'une simple substitution qui n'apporte aucune sécurité, explique le mathématicien Frédéric Bayard ; mais le Che et Fidel Castro avaient aussi recours à une forme de chiffre de Vernam (aussi employé pour le téléphone rouge entre Washington et Moscou), et que l'on sait parfaitement sûr ».
Le chiffre de Vernam, également appelé masque jetable, est un algorithme de cryptographie inventé en 1917 qui a longtemps eu la réputation d'être incassable. Très utilisé dans les milieux diplomatiques, il est cependant extrêmement difficile à mettre en oeuvre et a depuis été remplacé par d'autres procédures. Malgré son efficacité, le chiffre de Vernam n'a guère porté chance à Che Guevara. Capturé par l'armée bolivienne, il sera exécuté en 1967. On retrouvera sur lui des documents chiffrés...