Le chiffrement, vous connaissez ? Cette pratique, loin d’être récente, permet de protéger le contenu envoyé d’un expéditeur à son ou ses destinataires, afin de le rendre impossible à déchiffrer si jamais un tiers venait à mettre la main dessus.
Dans le monde du web, il est utilisé un peu partout : stockage de données sur le cloud, échanges entre un ordinateur et un serveur, e-commerce, messagerie instantanée, etc.
Vous voulez en savoir plus sur la façon dont vos données sont protégées ? C’est le thème de cet article !
Chiffrement, obfuscation, hachage… faisons le point !
Le monde de l’informatique est rempli de termes liés à la sécurité. Chiffrement, encryption, hachage, obfuscation, etc. Tant d’éléments qu’il est facile de confondre !
Avant de parler chiffrement web, il est important de connaître la distinction entre tous ces termes de cybersécurité :
- l’obfuscation est une pratique qui consiste à rendre des éléments (typiquement, du code informatique) illisibles, sans pour autant les encoder ;
- le hachage est notamment utilisé pour sécuriser des mots de passe. Il n’utilise pas de clé pour cela (nous reparlerons des clés), mais un algorithme de chiffrement, qui ne sert qu’à l’encodage ;
- le chiffrement, ou encryption, permet la protection de données grâce une clé, utilisée à la fois pour encoder et décoder ces données.
Qu’est-ce que le chiffrement ?
Une fois cette mise au point faite, il est temps de parler de ce qui nous intéresse ici : le chiffrement web !
Comme nous le disions en introduction, le chiffrement, ce n’est pas nouveau ! Cette pratique visant à limiter le nombre de personnes (ou machines) capables de lire une information n’a pas attendu l’explosion du numérique pour trouver une utilité. On en retrouve en effet des traces dès l’antiquité.
Aujourd’hui, son utilisation dans le monde du numérique est omniprésente, et nécessaire.
En effet, de plus en plus de données transitent d’une machine à un serveur, soit pour y être simplement stockées, soit pour y être redirigées vers une autre machine.
Que cela soit des fichiers stockés, des données sensibles échangées, ou des messages privés, ces éléments seraient facilement lisibles si ces procédés n’existaient pas.
Techniquement parlant, les données chiffrées le sont grâce à une ou plusieurs clés de chiffrement, servant à encoder ces données pour ensuite les décoder seulement lorsque c’est nécessaire, grâce à, là aussi, une clé.
Les différents algorithmes de chiffrement web
Il existe deux types de chiffrements : le chiffrement symétrique, et le chiffrement asymétrique. Voyons-les en détails.
Le chiffrement symétrique
Ce type d’encryption est dit symétrique car l’expéditeur et le destinataire possèdent tous les deux la même clé de chiffrement.
Par exemple, si vous chiffrez une suite de caractères grâce à une clé, votre destinataire, pour décoder votre message, aura besoin de cette même clé (ou d’une copie de celle-ci).
Le chiffrement asymétrique
Logiquement, le cryptage asymétrique sera l’opposé du cryptage symétrique. Ici, la clé d’encodage et la clé de décodage seront différentes.
Côté expéditeur, on utilisera une clé publique (envoyée par le destinataire) pour chiffrer les données. Côté destinataire, on utilisera une clé privée, ou secrète, pour les déchiffrer.
Si la clé publique est, comme son nom l’indique, publique, la clé privée doit rester secrète et ne doit pas être partagée ni stockée ailleurs que sur le terminal du destinataire.
Dans ce cas de figure, les clés étant différentes et le processus un peu plus complexe, le chiffrement asymétrique sera un peu plus gourmand en ressources que le symétrique.
Les différents types de chiffrement web
Nous avons vu les deux différents algorithmes de chiffrement, mais ce ne sont pas les seuls variables qui définissent le type d’encryption utilisé. On peut distinguer également trois types de chiffrement : en transit, de bout en bout, ou au repos.
Le chiffrement en transit
Vous connaissez tous le chiffrement en transit sans le savoir. C’est en effet ce protocole de sécurité qui se cache derrière le fameux ‘https’. Ce fonctionnement, aujourd’hui omniprésent, permet de protéger les échanges entre un client (navigateur) et un serveur web, et donc de sécuriser un site web.
Le principe du chiffrement en transit est le suivant : les données sont chiffrées par le navigateur à l’aide d’une clé symétrique. Cette clé elle-même est chiffrée, avec une clé publique, d’abord générée et renvoyée par le serveur. Ce dernier peut ensuite décoder les informations via sa clé privée.
La clé générée par le serveur, partagée à la fois par celui-ci et le client, servira à protéger les prochains échanges.
De cette manière, les données transitent de manières chiffrées : c’est notamment ce qui protège les informations sensibles envoyées lors d’un paiement (le numéro de carte bancaire, par exemple).
Le chiffrement de bout en bout
Peut-être avez-vous déjà vu cette information : “données chiffrées de bout en bout”, sans comprendre ce que cela voulait dire ? Le bout en bout (ou end-to-end) est une technique de chiffrement qui permet de stocker des informations sur un serveur, sans que celui-ci ne puisse les déchiffrer.
Seul le ou les clients possèdent la clé (secrète) permettant d’accéder à ces données. Cela permet, en principe, d’empêcher le fournisseur de service d’avoir accès aux informations stockées.
Ce type de chiffrement est notamment utilisé par les gestionnaires de mot de passe, mais aussi par les messageries instantanées, comme WhatsApp.
Le chiffrement au repos
La dernière technique de chiffrement web dont nous allons parler, c’est le chiffrement au repos.
Ici, le fonctionnement est simple : les données sont envoyées du client au serveur en clair (non chiffrées), et c’est le serveur qui s’occupe de ce chiffrement.
C’est donc lui qui verrouille les données, grâce à une clé secrète, qu’il conserve également. Cette clé ne sera jamais en possession du client. Côté serveur, elle est également gardée séparée de l’espace physique qui stocke les données chiffrées. Cela a pour intérêt de rendre les données illisibles en cas de vol des disques.
En revanche, le fournisseur de service peut techniquement décoder l’information à tout moment, même si les politiques de sécurité internes limitent ce risque.
Ce type de chiffrement est celui privilégié par les services de stockage sur le cloud.
L’importance du chiffrement web
À travers ces exemples, nous avons pu voir l’intérêt qu’à le chiffrement sur le web : la protection des données, pour éviter la lecture de celles-ci, en cas d’interception, de vol ou de piratage.
Au quotidien, vous utilisez le chiffrement sans même le savoir ; voyons quelques-unes de ces utilisations.
Nous l’avons dit, si vous utilisez une messagerie de type WhatsApp ou Signal, un chiffrement bout à bout est appliqué : le serveur de stockage ne peut en théorie pas accéder à vos données.
Telegram, quant à lui, applique un chiffrement au repos par défaut, ce qui le rend théoriquement moins sécurisé que WhatsApp. Mais cette théorie ne fonctionne pas complètement dans la pratique ; d’autres facteurs sont à prendre en compte lorsqu’on parle de messagerie.
Lorsque vous envoyez un e-mail, via Gmail par exemple, le chiffrement en transit est généralement appliqué : la donnée est envoyée chiffrée.
Et lorsque vous stockez des éléments sur Dropbox ou Google Drive, c’est un chiffrement au repos qui est utilisé ; le fournisseur cloud chiffre les données et en garde la clé secrète.
Les divers fournisseurs de service utilisent donc des techniques de chiffrement différents en fonction du service proposé. Non seulement pour des questions de facilité et de sécurité, mais aussi en fonction de la politique interne de protection des données.
Si vous êtes impliqué dans la protection de vos données personnelles, ce dernier paramètre devrait vous aiguiller dans les choix des services à utiliser.
