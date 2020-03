« Le Saint Graal du chiffrement des données ». C’est de cette manière que le Centre canadien pour la cybersécurité décrit la méthode de cryptage sur laquelle il travaille actuellement, alors que les brèches de sécurité et les tentatives d’attaques par maliciel et rançongiciel se multiplient.

Le chiffrement fonctionne habituellement en transit – ce qui protège les données lorsqu’elles sont envoyées – ou « au repos », ce qui protège de l’information lorsqu’elle est stockée. Mais afin d’être traitée et comprise, cette information doit être déchiffrée, et ce processus peut mettre sa sécurité à risque.

Nous voulons chiffrer l’information pendant qu’elle est traitée afin que vous n’ayez pas à la déchiffrer pour le faire. Ça s’appelle du chiffrement homomorphe , explique le dirigeant du Centre de la sécurité des télécommunications (CST) du Centre canadien pour la cybersécurité, Scott Jones, en entrevue avec CBC News.

C’est le Saint Graal du chiffrement qui nous amène à un point où l’on peut dire “ OK, on est en sécurité même pendant que l’information est traitée ”. C’est un phénomène relativement nouveau , ajoute-t-il.

Le centre est en charge de la réponse gouvernementale aux incidents de cybersécurité, protège les actifs numériques d’Ottawa et fournit des conseils aux industries, aux entreprises et à la population.

M. Jones dit que le CST s’est associée avec des figures importantes de l’industrie et des universitaires pour déterminer le fonctionnement du chiffrement homomorphe dans le contexte canadien.

Agrandir l’image  (Nouvelle fenêtre)  Scott Jones est dirigeant du Centre de la sécurité des télécommunications du Canada. Photo : La Presse canadienne / Justin Tang

Le chiffrement est déterminant pour notre défense , soutient-il, en notant qu’il faudra encore 5 à 10 ans pour que l’agence atteigne son objectif.

Un des problèmes de la cybersécurité est que nous pouvons bloquer deux milliards de choses, mais qu’un succès est la seule chose dont on parle… On considère que tout échec doit être résolu.

La montée des rançongiciels

Brett Callow, analyste à la firme de cybersécurité britanno-colombienne Emsisoft, croit que le chiffrement homomorphe peut réduire la probabilité que des données soient acquises de manière furtive, mais qu’il ne constitue pas une défense parfaite face à tout type d’attaque.

Pour utiliser une analogie, les données de l’entreprise seraient renfermées dans un coffre dont elle seule possède la clé, mais des personnes malveillantes pourraient mettre ce coffre dans un second coffre pour lequel elles possèdent la seule clé , dit-il.

Je ne suis pas certain qu’on trouvera un jour une panacée. La sécurité sera probablement une partie constante et permanente du jeu de la taupe (whack-a-mole). Brett Callow, analyste à la firme de cybersécurité Emsisoft

M. Callow dit que le chiffrement homomorphe ne constitue pas non plus un bouclier infaillible face aux attaques par rançongiciel, qui visent des autant des entreprises que des organismes gouvernementaux et des citoyens et citoyennes.

Les attaques par rançongiciel impliquent habituellement la récolte des identifiants d’utilisateurs et d’administrateurs. Si les pirates sont capables de mettre la main sur des identifiants qui servent à accéder aux données, ils pourront eux aussi accéder à ces données , explique-t-il.

Dans ces circonstances, le pirate ne serait pas nécessairement capable d’exfiltrer les données originales sous leur forme non chiffrée, mais il pourrait les consulter et peut-être prendre des captures d’écran.

Il ne faut pas non plus oublier le problème de l’erreur humaine.

Les agences et départements fédéraux ont enregistré des milliers de brèches de sécurité dans les deux dernières années, selon des données récemment présentées à la Chambre des communes. Et ce sont des erreurs ou la mauvaise conduite des gens qui sont à l’origine de plusieurs d’entre elles.

Avec les informations de Catharine Tunney