Accueil / IT Business / Parole d'entreprise / Comment sécuriser les clés de chiffrement dans les environnements hostiles

Comment sécuriser les clés de chiffrement dans les environnements hostiles

En matière de sécurisation des données confidentielles, si le chiffrement est universellement reconnu comme une nécessité, il est loin d’être la panacée. La clé de chiffrement est son talon d’Achille. Les hackers convoitent ces clés de chiffrement, véritables sésames pour déchiffrer les données cryptées. En résumé, détenir la clé, c’est accéder aux données.

Comment les pirates dérobent-ils les clés de chiffrement ?

La plupart des entreprises sont exposées aux vols de clés pour deux raisons :

  • Les implémentations cryptographiques ne tiennent pas compte des environnements hostiles – Cela vaut notamment pour les smartphones et autres appareils mobiles : le code binaire des applications étant accessible sur les appstore, les criminels ont tout loisir de l’étudier et le manipuler. Les pirates peuvent facilement effectuer de l’ingénierie à rebours sur ces applications pour récupérer les clés de chiffrement et accéder aux données.
  • La médiocrité des pratiques de stockage et d’utilisation des clés mettent ces dernières en péril – Le problème est aussi fréquent qu’inquiétant. Le géant hôtelier Marriott International a notamment été victime d’une faille de sécurité en 2018, compromettant ses clés de chiffrement, ainsi que ses données. Les clés étaient stockées sur le même serveur que les données qu’elles étaient censées protéger. Concrètement, pire que de s’absenter de chez soi en laissant la clé de sous le paillasson, c’est comme laisser la clé dans la serrure, à disposition du premier venu.

En réalité, la gestion des clés est un problème de cybersécurité croissant et difficile à résoudre pour quantité de grandes entreprises, d’après un rapport du Ponemon Institute. En 2020, 69 % des entreprises, contre 67 % l’année précédente, se souciaient de la gestion des clés de chiffrement. Pour plus du quart des entreprises interrogées, la gestion des clés et leur stockage étaient un défi majeur de leur stratégie de chiffrement des données, plus de la moitié d’entre elles jugeant la gestion des clés « très pénible ».

Qu’est-ce que la cryptographie en boîte blanche ?

La cryptographie en boîte blanche est une approche très robuste, exclusivement logicielle, qui permet de protéger les clés de chiffrement dans des environnements hostiles. Concrètement, même si un hacker prend le contrôle d’un appareil et de l’environnement d’exécution d’une application, il ne pourra pas accéder aux clés ou aux données chiffrées, même si un logiciel passe-droit a été utilisé ou si l’appareil a été débridé.

Bien que chaque éditeur mette en œuvre différemment la cryptographie en boîte blanche, le principe reste le même : cette approche associe des techniques de chiffrement et de brouillage pour intégrer des clés et algorithmes cryptographiques au code applicatif, ainsi indécelables par un hacker. La cryptographie en boîte blanche a pour objet de protéger les clés de chiffrement et opérations cryptographiques en environnements hostiles. Par sa conception, elle part du principe que le pirate contrôle totalement le système, et que ce dernier fait l’objet d’attaques en permanence.

À qui la cryptographie en boîte blanche s’adresse-t-elle ?

La plupart des entreprises peuvent tirer avantage de la cryptographie en boîte blanche, en particulier dans les scénarios suivants :

  • Toute entreprise dotée d’une application de valeur – La plupart des entreprises proposent des applications mobiles qui sont souvent un échantillon représentatif de leur dispositif technologique. Si ces applications mobiles offrent de nombreux avantages aux particuliers comme aux entreprises, elles sont aussi largement exposées aux pirates. Non seulement les criminels peuvent accéder aux fichiers binaires sur l’appstore, mais nombre d’applications recourent à des clés de chiffrement, utilisées sans aucune protection dans l’application mobile une fois celle-ci installée. Si un hacker s’attaque à la racine du système ou débride l’appareil, il peut facilement s’emparer des clés. En recourant à la cryptographie en boîte blanche, les équipes de développement peuvent renforcer la sécurité des clés dans l’application, indépendamment du matériel, et se prémunir contre les vulnérabilités représentées par des équipements non pris en charge et des appareils compromis.
  • Les entreprises qui migrent vers le cloud – Lorsque les applications sont exclusivement on-premise, l’entreprise dispose généralement d’un coffre-fort réservé aux clés, un matériel dédié étant installé dans son propre datacenter. Ce matériel est utilisé pour stocker les clés et exécuter toutes les opérations cryptographiques. Il contribue également à fiabiliser le périmètre ; or, la migration vers le cloud change la donne et le niveau de confiance. Dans le cadre de cette migration, les entreprises doivent choisir qui gèrera et stockera les clés utilisées pour chiffrer les données conservées dans le cloud. Grâce à la méthode HYOK (Hold Your Own Key) les entreprises peuvent générer, gérer et stocker les clés de chiffrement dans leur propre environnement. L’opérateur cloud n’a accès ni aux clés, ni au contenu des fichiers chiffrés. La cryptographie en boîte blanche permet aux entreprises de protéger leurs clés et leurs secrets au sein des applications, même si ces dernières sont exécutées dans des environnements multilocataires de type cloud public.

La gestion sécurisée des clés de chiffrement est donc un volet crucial du chiffrement et de la stratégie globale de sécurisation des données. Que les clés de chiffrement soient stockées dans les applications mobiles ou côté back-end, la cryptographie en boîte blanche a vocation à les protéger.

Par Ash Patel, General Manager EMEA de Zimperium.

 

A voir

Défis liés aux données : des mainframes au Modern Data Stack

La quantité et la diversité des sources de données rendent le paysage actuel étonnamment hétérogène, ce qui nécessite un nouvel ensemble d'outils.