Que devrais-je savoir au sujet du chiffrement ?
Dernière révision : November 24, 2018
Vous avez probablement entendu le terme « chiffrement » utilisé dans divers contextes et associé à différents mots. En général, chiffrement réfère au processus mathématique qui rend un message illisible, sauf pour une personne qui détient la clé pour le « déchiffrer » sous forme lisible.
Tout au long de l’histoire, les gens ont utilisé le chiffrement pour s’envoyer des messages qui (avec un peu de chance) ne pouvait être lu que par le destinataire prévu. Aujourd’hui, nous possédons des ordinateurs qui peuvent effectuer le chiffrement pour nous. La technologie du chiffrement numérique a dépassé les simples messages secrets ; vous pouvez aujourd’hui utiliser le chiffrement pour des fins plus élaborées, par exemple pour vérifier l’auteur de messages.
Le chiffrement est la meilleure technologie que nous possédons pour protéger les informations contre les personnes malveillantes, les gouvernements et les fournisseurs d’accès et de services. De plus, cette technologie a évolué au point d’être virtuellement impénétrable, si elle est utilisée correctement.
Dans ce guide, nous examinerons deux principales applications du chiffrement : le brouillage des données au repos et en transit.
Chiffrer les données au repos anchor link
Des données « au repos » sont des données qui sont stockées quelque part, par exemple sur un appareil mobile, un ordinateur portable, un serveur ou un disque dur externe. Quand des données sont au repos, elles ne sont pas déplacées d’un endroit à l’autre.
Le chiffrement du « disque entier » est une forme de chiffrement qui protège les données au repos (parfois aussi appelé « chiffrement du périphérique » ou « chiffrement de l’appareil »). La mise en place du chiffrement du disque entier chiffre toutes les informations stockées sur un appareil et les protège par une phrase de passe ou une autre méthode d’authentification. Sur un appareil mobile ou un ordinateur portable, cela ressemble habituellement à un écran normal de verrouillage d’un appareil, exigeant un code, une phrase de passe ou une empreinte . Cependant, le fait de verrouiller votre appareil (c’est-à-dire d’exiger un mot de passe pour « déverrouiller » votre appareil) ne signifie pas toujours que le chiffrement du disque entier est activé.
Un téléphone intelligent et un ordinateur portable qui présentent tous les deux un écran de « verrouillage » protégé par mot de passe. |
Assurez-vous de vérifier comment votre système d’exploitation met en œuvre et gère le chiffrement du disque entier. Alors que certains systèmes d’exploitation activent le chiffrement du disque entier par défaut, d’autres ne le font pas. Cela signifie que quelqu’un pourrait accéder aux données qui se trouvent sur votre appareil mobile en craquant simplement le verrou de ce dernier, sans savoir à s’attaquer à la clé de chiffrement, dans la mesure où l’appareil même n’est pas chiffré. Certains systèmes enregistrent malgré tout du texte en clair, non chiffré, dans la mémoire vive, même si vous utilisez le chiffrement du disque entier. La mémoire vive permet un stockage temporaire. Cela signifie que peu de temps après l’extinction de votre appareil, la mémoire ne peut habituellement plus être lue. Un adversaire expert pourrait toutefois tenter une attaque par démarrage à froid et il est possible qu’il puisse récupérer le contenu de la mémoire vive.
Le chiffrement du disque entier peut protéger vos appareils contre les personnes qui peuvent y accéder physiquement. Cela est utile si vous souhaitez protéger vos données contre vos colocataires, vos compagnons de chambre, vos collègues ou employeurs, les représentants de votre école, les membres de votre famille, vos partenaires, les policiers ou d’autres représentants d’organismes d’application de la loi. Il protège aussi les données sur vos appareils s’ils sont volés ou perdus, par exemple si vous laissez accidentellement votre téléphone dans le bus ou au restaurant.
Il existe d’autres façons de chiffrer les données au repos. Une option, appelée « chiffrement de fichier », ne chiffre que certains fichiers sur un ordinateur ou un autre périphérique de stockage. Une autre option est le « chiffrement de l’unité » (aussi appelée « chiffrement du disque ») : elle chiffre toutes les données d’une zone de stockage précise d’un périphérique de stockage.
Vous pouvez utiliser une combinaison de ces différentes sortes de chiffrement au repos. Par exemple, disons que vous souhaitez protéger des renseignements de nature délicate dans vos documents médicaux. Vous pouvez utiliser le chiffrement de fichier pour chiffrer séparément un fichier médical stocké sur votre unité. Vous pouvez ensuite utiliser le chiffrement de l’unité pour chiffrer la partie de votre appareil où ces renseignements médicaux sont stockés. Enfin, si vous avez activé le chiffrement du disque entier sur votre appareil, tout sera chiffré : tous les renseignements médicaux ainsi que tous les fichiers qui se trouvent sur l’unité, y compris les fichiers du système d’exploitation de l’ordinateur.
Sur Autodéfense contre la surveillance, nous avons rédigé quelques guides pour activer le chiffrement sur vos appareils. Bien que vous puissiez trouver en ligne des descriptions approfondies des options de chiffrement au repos (et ici sur ACS !), sachez que ces options changent fréquemment et que les instructions peuvent rapidement devenir périmées.
Chiffrer les données en transit anchor link
Ce diagramme représente des données non chiffrées en transit, ce qui est souvent la configuration par défaut pour les fournisseurs d’accès à Internet. Sur la gauche, un téléphone intelligent envoie un message non chiffré, en vert, à un autre téléphone intelligent à l’extrême droite. Sur le chemin, une tour de téléphonie cellulaire passe le message aux serveurs de l’entreprise et ensuite à une autre tour de téléphonie cellulaire. Ils peuvent tous voir le message non chiffré « Hello ». Tous les ordinateurs et tous les réseaux qui acheminent le message non chiffré peuvent voir le message. À l’autre bout, l’autre téléphone intelligent reçoit le message non chiffré « Hello ». |
Des données « en transit » sont des informations qui se déplacent d’un endroit à un autre sur un réseau. Par exemple, quand vous envoyez un message sur une appli de messagerie, ce message se déplace de votre appareil vers les serveurs de l’entreprise de l’appli et ensuite vers l’appareil de votre destinataire. Un autre exemple est la navigation sur le Web : quand vous vous rendez sur un site Web, les données de cette page Web voyagent des serveurs du site Web vers votre navigateur.
Certaines applis populaires offrent des fonctions qui semblent protéger vos messages telles que les messages éphémères. Cependant, le fait qu’une communication (une discussion ou un message) peut sembler être sûre ne signifie pas qu’elle l’est effectivement. Les ordinateurs qui acheminent votre message pourraient en voir le contenu.
Il est important de vérifier que les conversations entre vous et votre destinataire sont chiffrées, et de savoir si elles sont chiffrées avec un chiffrement de la couche de transport ou un chiffrement de bout en bout.
Il existe deux façons de chiffrer les données en transit : le chiffrement de la couche de transport et le chiffrement de bout en bout . La sorte de chiffrement qu’un fournisseur de services prend en charge peut être un facteur important pour décider quels services vous conviennent. Les exemples ci-dessous illustrent les différences entre le chiffrement de la couche de transport et le chiffrement de bout en bout.
Le chiffrement de la couche de transport anchor link
Le diagramme représente le chiffrement de la couche de transport. Sur la gauche, un téléphone intelligent envoie un message non chiffré, en vert : « Hello ». Ce message est chiffré et passez à une tour de téléphonie cellulaire. Au centre, les serveurs de l’entreprise peuvent déchiffrer le message, le chiffrer à nouveau et l’envoyer à la prochaine tour de téléphonie cellulaire. À l’autre bout, l’autre téléphone intelligent reçoit le message chiffré et le déchiffre en « Hello ». |
Le chiffrement de la couche de transport, aussi appelé sécurité de la couche de transport (TLS), protège les messages alors qu’ils voyagent de votre appareil vers les serveurs de l’appli, et des serveurs de l’appli vers l’appareil de votre destinataire. Entre les deux, votre fournisseur de services de messagerie ou le site Web que vous parcourez, ou encore l’appli que vous utilisez peuvent voir des copies non chiffrées de vos messages. Dans la mesure où vos messages peuvent être vus par les serveurs des entreprises (et souvent y être stockés), ils pourraient être vulnérables aux demandes des organismes d’application de la loi ou à des fuites si les serveurs des entreprises sont compromis.
Exemple de chiffrement de la couche de transport : HTTPS anchor link
Remarquez-vous le cadenas vert et « https :// » à gauche de l’adresse Web pour ssd.eff.org dans la zone d’adressage Web de la fenêtre de votre navigateur ? HTTPS est un exemple de chiffrement de la couche de transport que nous rencontrons fréquemment sur le Web. Il apporte plus de sécurité que le HTTP non chiffré. Pourquoi ? Parce que les serveurs du site Web HTTPS que vous parcourez peuvent voir les données que vous saisissez alors que vous êtes sur leur site (par exemple des messages, des recherches, des numéros de carte de crédit et des identifiants), mais que ces informations sont illisibles pour les observateurs indiscrets et autres systèmes d’écoute sur le réseau.
Si quelqu’un espionne le réseau et tente de voir quels sites Web les utilisateurs visitent, une connexion HTTP n’offre aucune protection. Par contre, une connexion HTTPS dissimule quelle page d’un site Web vous visitez, c’est-à-dire tout ce qui se trouve « après la barre oblique ». Par exemple, si vous utilisez HTTPS pour vous connecter à « https://ssd.eff.org/fr/module/que-devrais-je-savoir-au-sujet-du-chiffrement%E2%80%89 » un observateur indiscret ou un système d’écoute ne verra que « https://ssd.eff.org ».
Le Web traverse une grande transition vers HTTPS pour toutes les pages Web. Nous devons cela au fait que HTTP manque de sécurité réelle alors que HTTPS offre cette sécurité par défaut. Les pages Web qui vous arrivent par HTTP sont vulnérables à l’écoute, à l’injection de contenu, au vol des témoins , des identifiants et des mots de passe, à la censure ciblée et à d’autres problèmes.
Nous recommandons d’utiliser l’extension pour navigateur HTTPS partout (page en anglais, mais extension en français) de la FFÉ pour recevoir la protection maximale avec HTTPS. HTTPS partout veille à ce que si un site Web que nous connaissons offre HTTPS en plus de HTTP, vous utilisiez toujours la version HTTPS sécurisée du site.
Le seul fait qu’un service utilise HTTPS n’implique pas que le service protégera forcément les renseignements personnels ni la vie privée de ses utilisateurs qui visitent son site Web. Par exemple, un site protégé par HTTPS pourrait quand même utiliser des témoins de suivi à la trace ou héberger des programmes malveillants.
Exemple de chiffrement de la couche de transport : les RPV anchor link
Les réseaux privés virtuels (RPV ) sont un autre exemple de chiffrement de la couche de transport. Sans RPV, votre trafic voyage par la connexion de votre fournisseur d’accès à Internet (FAI). Avec un RPV, votre trafic voyagera toujours par la connexion de votre FAI, mais il sera chiffré entre vous et votre fournisseur de RPV. Si quelqu’un espionne votre réseau local et essaie de voir quel site Web vous visitez, il pourra voir que vous êtes connecté à un RPV, sans toutefois savoir quel site Web vous visitez réellement. Votre FAI peut détecter qui est votre fournisseur de RPV.
Bien que l’utilisation d’un RPV dissimule votre trafic à votre FAI, il expose aussi votre trafic au fournisseur même du RPV. Le fournisseur du RPV pourra voir, stocker et modifier votre trafic. L’utilisation d’un RPV déplacera essentiellement votre confiance de votre FAI vers le RPV, et il est donc important de vous assurer que vous faites confiance à votre fournisseur de RPV pour qu’il protège vos données.
Pour de plus amples conseils sur le choix d’un RPV qui vous convient, lisez le guide ACS sur les RPV.
Le chiffrement de bout en bout anchor link
Le diagramme représente le chiffrement de bout en bout. Sur la gauche, un téléphone intelligent envoie un message non chiffré, en vert : « Hello ». Ce message est chiffré et passé à une tour de téléphonie cellulaire et aux serveurs de l’entreprise. À l’autre bout, l’autre téléphone intelligent reçoit le message chiffré et le déchiffre en « Hello ». Contrairement au chiffrement de la couche de transport, les serveurs de votre FAI ne peuvent pas déchiffrer le message ; seules les extrémités (les appareils d’origine et de destination qui envoient et reçoivent les messages chiffrés) ont les clés pour déchiffrer le message. |
Le chiffrement de bout en bout protège les messages en transit, de l’expéditeur jusqu’au destinataire. Il s’assure que les informations sont transformées en message secret par son expéditeur d’origine (la première « extrémité ») et décodées seulement par son destinataire final (la seconde « extrémité »). Personne, même pas l’appli que vous utilisez, ne peut écouter ni surveiller votre activité.
Accéder à des messages chiffrés de bout en bout dans une appli sur votre appareil signifie en fait que même les créateurs de l’appli ne pourront pas les lire. C’est une caractéristique fondamentale d’un bon chiffrement : même les personnes qui le conçoivent et le distribuent ne peuvent pas le pénétrer.
Dans Autodéfense contre la surveillance, notre page Communiquer avec les autres présente des guides sur l’utilisation des outils de chiffrement de bout en bout.
Chiffrement de la couche de transport ou chiffrement de bout en bout ? anchor link
Les questions importantes à vous poser pour décider si vous avez besoin du chiffrement de la couche de transport ou du chiffrement de bout en bout sont : Faites-vous confiance à l’appli ou au service que vous utilisez ? Faites-vous confiance à son infrastructure technique ? Et à ses politiques pour protéger ses utilisateurs contre les demandes des organismes d’application de la loi ?
Si vous répondez « non » à l’une de ces questions, vous avez alors besoin du chiffrement de bout en bout. Si vous répondez « oui », un service qui ne prend en charge que le chiffrement de la couche de transport pourrait vous suffire. Il est toutefois généralement préférable, quand cela est possible, de choisir des services qui prennent en charge le chiffrement de bout en bout.
Nous avons créé l’animation ci-dessous pour illustrer le fonctionnement du chiffrement de bout en bout et du chiffrement de la couche de transport pour les données en transit.
Sur la gauche se trouve un outil de dialogue en ligne chiffré de bout en bout (une boîte de dialogue en ligne qui utilise le protocole OTR de messagerie instantanée chiffrée). Sur la droite se trouve une boîte de dialogue en ligne chiffrée au niveau de la couche de transport (chiffrée par le HTTPS que le site Web de Google Hangouts utilise).
Dans le GIF, l’utilisateur principal tape un message dans la boîte de dialogue en ligne de Google Hangouts :
Traduit de l’anglais : « Salut ! Ce n’est pas chiffré de bout en bout. Google peut voir notre conversation ».
L’utilisateur a aussi ouvert une boîte de dialogue en ligne qui utilise le protocole OTR et il active le paramètre « conversation privée ». Dans la boîte de dialogue en ligne qui utilise le protocole OTR, le texte descriptif indique :
Traduit de l’anglais : « Tentative de lancement d’une conversation privée avec [compte Gmail]. La conversation privée avec [compte Gmail] est lancée. Cependant, l’identité de l’utilisateur n’a pas été vérifiée ».
En parallèle, dans la boîte de dialogue en ligne de Google Hangouts, un texte chiffré illisible apparaît, ce qui nous montre que les échanges utilisent maintenant le protocole OTR chiffré de bout en bout. Chaque message envoyé par la boîte de dialogue en ligne qui fait appel au protocole OTR apparaît aussi dans la boîte de dialogue en ligne de Google Hangouts, mais est illisible. L’autre utilisateur tape un message dans le client qui utilise le protocole OTR :
Traduit de l’anglais : « C’est illisible pour tous les autres ».
L’utilisateur principal écrit :
Traduit de l’anglais : « Oui, ça ressemble à du charabia »
L’autre utilisateur envoie une frimousse souriante.
Ce que le chiffrement en transit ne fait pas anchor link
Le chiffrement n’est pas un remède universel. Même si vous envoyez des messages chiffrés, le message sera déchiffré par la personne avec qui vous communiquez. Si vos extrémités (les appareils que vous utilisez pour communiquer) sont compromises, vos communications chiffrées peuvent l’être aussi. De plus, la personne avec qui vous communiquez peut prendre des captures d’écran ou garder des traces (journaux) de vos communications.
Si vous stockez automatiquement des sauvegardes de conversations chiffrées dans « le nuage » (d’autres ordinateurs), pensez à vérifier que vos sauvegardes sont elles aussi chiffrées. Cela garantit que vos conversations ne sont pas seulement chiffrées en transit, mais aussi au repos.
Si vous chiffrez les données en transit, cela chiffrera le contenu de vos communications, mais ne chiffrera pas les métadonnées. Par exemple, vous pouvez utiliser le chiffrement pour brouiller les messages entre vous et vos amis et les rendre illisibles. Mais le chiffrement ne dissimule pas :
- que vous et votre ami communiquez,
- que vous utilisez le chiffrement pour communiquer,
- d’autres sortes de renseignements au sujet de votre communication telles que le lieu, les heures et les durées des communications.
Les personnes qui ont des inquiétudes accrues au sujet de la surveillance (telles que celles qui se soucient de la surveillance active de leurs réseaux) peuvent s’exposer à des risques en n’utilisant le chiffrement que pendant des moments délicats ou pour des activités particulières. Pourquoi ? Si vous n’utilisez le chiffrement que parfois, cela pourrait relier vos métadonnées à des dates et heures importantes. Par conséquent, utilisez le chiffrement autant que possible, même pour des activités banales.
De plus, si vous êtes la seule personne à utiliser le chiffrement sur un réseau, ces métadonnées pourraient être considérées comme suspectes. C’est pourquoi de nombreux amateurs du chiffrement encouragent l’utilisation d’outils de chiffrement par tous quand cela est possible, afin de rendre normale l’utilisation du chiffrement pour les personnes qui en ont vraiment besoin.
Combiner le tout anchor link
Utiliser à la fois le chiffrement des données en transit et au repos vous offrira une sécurité plus complète que de n’utiliser que l’un ou l’autre. C’est ce que les experts en sécurité de l’information appellent la « défense en profondeur ». En mettant en œuvre plusieurs méthodes pour défendre vos données, vous pouvez parvenir à un niveau supérieur de protection.
Par exemple, si vous envoyez des messages non chiffrés (sans chiffrer vos données en transit) à partir d’un appareil mobile chiffré (en chiffrant vos données au repos), ces messages seront encore vulnérables à l’écoute des réseaux et à l’interception par les gouvernements, les fournisseurs d’accès et de services ou par des adversaires techniquement qualifiés. La trace de ces messages sur votre appareil mobile sera cependant protégée contre quelqu’un qui aurait accès à votre appareil mobile si cette personne ne connaît pas le code d’accès.
À l’inverse, si vous envoyez des messages chiffrés de bout en bout (en chiffrant vos données en transit) sur un appareil non chiffré (sans chiffrer vos données au repos), ces messages seront à l’épreuve de la surveillance du trafic et de l’écoute du réseau. Si quelqu’un arrivait cependant à accéder physiquement à votre appareil mobile, cette personne pourrait accéder aux messages et les lire.
En gardant ces exemples à l’esprit, on peut considérer que chiffrer vos données à la fois en transit sur le réseau et au repos sur votre appareil est la combinaison idéale pour vous protéger contre une gamme plus large de risques potentiels.
Pour explorer plus en profondeur l’utilisation du chiffrement, veuillez poursuivre vers notre guide les notions essentielles du chiffrement.