Nous déléguons souvent le stockage de nos informations électroniques à des tiers, peut-être sans penser que le fait de les garder sous le matelas comporte des risques.
Nous sommes constamment immergés dans un monde numérique. Nous le sommes tellement que nous ne nous en rendons plus compte et que nous considérons désormais comme normales des choses qui étaient reléguées au monde de la science-fiction il y a encore quelques années. Un monde qui, même si la courbe d’évolution après la flambée des dernières décennies semble s’être quelque peu aplatie, est en constante évolution. Prochaine étape, les ordinateurs quantiques et l’informatique quantique, des techniques qui, si elles sont un jour mises en œuvre, feront passer les superordinateurs d’aujourd’hui pour des calculatrices obsolètes et surtout très lentes. Cette efficacité et cette rapidité ont toutefois un revers : tous nos systèmes de sécurité deviendront obsolètes et, par conséquent, plus ou moins facilement contournables. Le problème touchera l’ensemble du monde numérique, des communications au cloud, ce nuage virtuel dans lequel nous stockons tous les myriades de données que nous produisons plus ou moins consciemment chaque jour.
Mais il s’agit là de la musique d’un avenir qui reste à écrire, si tant est que quelqu’un l’écrive un jour (en mai 2023, IBM a annoncé son intention de développer un ordinateur quantique d’ici à 2033). Le coût ? 100 millions de dollars). Mais existe-t-il une date réellement certaine ? comme pour d’autres avancées dans ce domaine, c’est toujours une question de cinq à dix ans", nous explique Cesare Pautasso , professeur à la faculté d’informatique de l’université de Lugano en Suisse, non sans une pointe d’ironie, car les délais sont rarement respectés. Cependant, les universitaires et les chercheurs s’inquiètent de cette évolution depuis un certain temps déjà. Cela n’enlève rien au fait que pour nous, simples mortels, la question ne se pose pas encore et, semble-t-il, ne se posera pas avant longtemps. Alors autant faire avec le présent et se demander si nos données et notre nuage sont sûrs ou non.
La troisième roue du carrosse
le problème, c’est qu’il y a trois acteurs en jeu : deux qui communiquent et le troisième qui veut intercepter la communication", répond M. Pautasso. Dans ce cas précis, nous avons le nuage, nos supports numériques (téléphone portable, PC...) et l’internet, qui leur permet de communiquer, mais qui permet aussi à n’importe qui d’intercepter la communication. Pour les experts, "la question de la sécurité est donc de savoir comment garantir la confidentialité des informations transmises dans le nuage". Tout est facile ? Pas du tout, car les choses se compliquent immédiatement, car "il existe en fait deux versions du nuage, l’une privée et l’autre publique. La version privée suppose que l’ensemble du système est sous le contrôle de la même organisation (par exemple, si je suis à l’université, j’ai le contrôle des ordinateurs sur les bureaux et aussi du nuage)". En revanche, lorsque le contrôle du nuage est confié à un tiers tel qu’Amazon, Google, Oracle ou d’autres fournisseurs, "la responsabilité est divisée : les données qui se trouvent dans le nuage doivent continuer à appartenir aux organisations qui les ont générées, tandis que l’infrastructure du nuage appartient aux fournisseurs de services. Le modèle change donc". Après tout, c’est aussi l’une des raisons du succès du nuage - il n’est pas nécessaire de faire de gros investissements puisque vous louez l’espace dont vous avez besoin, mais "du point de vue de la sécurité, les choses se compliquent". Il est difficile de dire lequel des deux systèmes est le meilleur, car "la sécurité ne se mesure pas en chiffres, comme la vitesse", c’est souvent une question de perception et de confiance. En effet, "les entreprises qui veulent vendre le nuage insistent sur le fait qu’il est difficile d’être sécurisé". Il est vrai que ces entreprises disposent d’une myriade d’experts et d’ingénieurs qui travaillent précisément "pour assurer la sécurité de ces grands centres d’informatique en nuage", de sorte qu’il est généralement possible de dire qu’ils sont "beaucoup plus sûrs que ce que l’on obtiendrait si quelqu’un essayait de fabriquer lui-même un système de sécurité à la maison".
Toutefois, la sécurité absolue n’existe pas dans l’un ou l’autre système. Par exemple, les données "peuvent disparaître en raison, comment dire, de causes externes dues à l’entropie de l’univers, en ce sens que les choses finissent par se briser" ou, plus sérieusement, "en raison d’actions délibérées". Par exemple, "une chaîne de cyberattaque majeure est une chaîne qui rend l’accès à un système et à ses données impossible et qui demande une rançon pour le rétablir. En anglais, on parle de "ransomware". Ces attaques peuvent également "intercepter des communications ou accéder à des données sensibles et menacer de les rendre publiques si l’on ne paie pas". Cela est arrivé une fois au professeur Pautasso : "J’avais une base de données contenant des données scientifiques qui est entrée en contact avec l’internet. Les données ont disparu en l’espace de quelques heures. Il y avait un petit message qui disait que si je ne payais pas, ces données seraient publiées". L’affaire s’est résolue d’elle-même, car "nous avions une copie de sauvegarde". Et puis, d’un point de vue scientifique, c’est formidable", car tout chercheur, par définition, rend son travail public, il ne garde rien de secret. En revanche, "si cela s’était passé avec une banque ou une autre entreprise, cela aurait été beaucoup moins drôle".
L’éternité de nos données redondantes, pour le meilleur et pour le pire
En ce qui concerne l’éternité des données, en revanche, on assiste à un "paradoxe numérique, car il est très difficile de créer un système qui garantisse que les informations que je veux supprimer sont effectivement supprimées et qui, en même temps, préserve les informations les plus importantes au fil du temps". En effet, il suffit d’un petit accident, comme la perte d’un mot de passe de connexion, pour que mes données deviennent inaccessibles. Sans compter que les sociétés de cloud, comme toutes les autres, peuvent avoir des problèmes ou même faire faillite, avec des conséquences imprévisibles sur les données stockées. Par conséquent, pour le professeur Pautasso, la seule "stratégie pour garantir l’éternité de nos données est d’essayer d’avoir autant de copies que possible, à la fois localement et dans le nuage". Et pas seulement dans un nuage, mais dans plusieurs nuages. Pour préserver les données, la recette est la redondance". En ce sens, "il existe des solutions techniques très intéressantes qui copient, transfèrent, répliquent les données entre différents disques, ordinateurs et centres de données dans le monde entier", ce qui nous amène toutefois à l’autre côté du paradoxe : "Si je crée cette redondance et que je veux supprimer quelque chose, comment puis-je être vraiment sûr que tout a été supprimé dans toutes les copies ?
Bref, les problèmes sont nombreux et variés. Par exemple, "un autre aspect intéressant concerne la souveraineté des données. Le nuage est un concept abstrait, un nuage dont on ne sait pas vraiment où il se trouve, mais en même temps très concret, sous le contrôle d’entreprises européennes, américaines, asiatiques, suisses oeIl y a cette idée que sur l’internet il y a une douane qui contrôle et bloque l’accès, mais la communication via le web est universelle, donc si mes données sont en Suisse et que je ne fais rien pour les empêcher d’être lues, disons depuis l’Amérique, il est évident qu’elles peuvent être utilisées". Le tournant en matière de sécurité a été l’affaire Snowden, qui a révélé "que si vous mettez vos données dans le nuage, elles ne sont plus privées", puisque le gouvernement américain s’est emparé de tout ce qui y a été mis sans aucune limite. Par conséquent, "depuis lors, l’utilisation du cryptage a considérablement augmenté pour rendre ces pratiques plus difficiles".
Mettre du cryptage, enlever du cryptage
Une cryptographie qui risque cependant de prendre fin, du moins telle que nous la connaissons, en raison justement, comme mentionné au début, de l’avènement dans un futur plus ou moins proche des ordinateurs quantiques, "dotés de capacités de calcul exponentiellement plus élevées que celles d’aujourd’hui". Ils peuvent effectuer en quelques instants des calculs que les machines actuelles mettraient des années à réaliser, ce qui leur permettrait de "décrypter toutes les données cryptées" avec les systèmes actuels. Des attaques de type "Store now, decrypt-later", dans lesquelles des hackers volent des données avec l’intention de les décrypter dans le futur grâce justement à des algorithmes post-quantiques, seraient déjà en cours. C’est l’un des axes de recherche qui sont également menés à l’USI (l’expert en la matière est le professeur Stefan Wolf), car les problèmes susceptibles de découler de cette question pourraient être nombreux et graves. Pautasso n’en cite qu’un, qui nous concerne tous : "Si j’avais un ordinateur capable de décrypter toutes les transactions par carte de crédit effectuées sur Internet, ce serait la fin du commerce électronique". Comme nous l’avons dit, les ordinateurs quantiques, avec leur capacité à effectuer des calculs complexes en très peu de temps, pourraient rendre obsolètes les algorithmes cryptographiques actuels, qui reposent sur la difficulté de résoudre des problèmes mathématiques, et rendre ainsi nos systèmes et nos communications vulnérables aux cyberattaques. Il s’agit d’une préoccupation sérieuse, car elle menace non seulement la vie privée et les activités commerciales en réseau, mais aussi les données dans le nuage, où sont stockées des informations sensibles. La cryptographie post-quantique devra donc proposer de nouveaux algorithmes cryptographiques pour résister à ces attaques. Google, Apple et d’autres entreprises numériques prennent déjà des mesures et étudient, en collaboration avec les plus grands centres de recherche du monde, de nouveaux protocoles de sécurité, qu’ils soient purs ou hybrides, c’est-à-dire combinant la cryptographie traditionnelle et la cryptographie quantique, un autre domaine de recherche prometteur. En tout état de cause, les entreprises et organisations utilisant le cloud devront mettre à niveau leur infrastructure de sécurité pour intégrer les technologies post-quantiques. La conformité aux nouvelles réglementations en matière de sécurité quantique sera cruciale pour elles.
