Le cryptage fait fonctionner le monde numérique. Il se compose de quelques équations mathématiques élégantes qui brouillent les données avant d’être envoyées sur Internet, là où des yeux indiscrets pourraient autrement les intercepter, les lire et les manipuler. Le cryptage est la raison pour laquelle tout, des transactions financières aux secrets d'État, circule sur Internet presque instantanément, débloquant d'énormes quantités d'innovation, de richesse et de prospérité en conséquence.

Mais toutes les méthodes de cryptage ne sont pas égales. Certaines formes de cryptage exposent les communications des utilisateurs d'Internet aux entreprises privées et à d'autres tiers avec lesquels elles choisissent de partager vos données.

De nos jours, de nombreuses entreprises technologiques affirment avoir des produits « cryptés de bout en bout ». C’est souvent trompeur. En mars, Zoom a faussement affirmé dans son livre blanc sur la sécurité que les hôtes pouvaient activer une « réunion cryptée de bout en bout » d'un simple clic. Après un retour de bâton, Zoom a discrètement modifié le langage de son livre blanc pour éviter d'utiliser le terme « crypté de bout en bout ».

Dans ce scénario, Zoom n'a pas reconnu une distinction critique entre le cryptage web standard, souvent appelé cryptage « client-serveur » (C2S), et le véritable cryptage de bout en bout (E2E).

La différence entre le cryptage C2S et E2E ne peut être sous-estimée. En termes simples, c'est la différence entre communiquer en privé et avoir tout ce que vous faites surveillé.

Aujourd'hui, les entreprises qui utilisent le cryptage C2S décryptent, traitent et stockent nos données non cryptées sur des serveurs Cloud pour nous fournir des services. Mais ce n'est pas tout ce qu'elles font : trop souvent, ces entreprises abusent de notre confiance en nous espionnant, en violant nos données et en manipulant nos actions. En d'autres termes, le cryptage C2S a un talon d'Achille : il place les entreprises et les fournisseurs de services au milieu des expéditeurs et des destinataires, leur accordant un accès total à nos données et communications.

Le cryptage E2E couvre le talon d'Achille du C2S et permet des communications réellement privées dans les deux sens. C'est ce que signifie E2E : un « extrémité » est l'expéditeur et l'autre « extrémité » est le destinataire. Le calcul est effectué localement sur des dispositifs (« à la périphérie »), éliminant le besoin de serveurs centralisés ennuyeux qui permettent aux entreprises, aux tiers et aux autres de nous écouter.

Le cryptage C2S nous expose au « risque de basculement »

Les dangers du cryptage C2S peuvent être résumés comme risque de basculement. Qu'est-ce que le risque de basculement ? Supposons que vous achetiez un produit d'une entreprise que vous aimez absolument et à laquelle vous faites confiance sans condition — pour simplifier, prenons Apple comme exemple. Imaginons qu'Apple lance un nouvel iPhone dont toutes les données sont cryptées sur les serveurs d'Apple à l'aide d'un type de cryptage C2S (note : juste un exemple, ce n'est pas ainsi qu'Apple crypte les données de l'iPhone aujourd'hui).

Vous faites confiance à Apple. Et cet nouvel iPhone est rempli d'améliorations telles que l'identification par empreinte rétinienne, un appareil photo capable de zoomer suffisamment pour voir des cellules, et un processeur capable de calculer le dernier chiffre de Pi. Vous achetez cet iPhone. Vous l'achetez parce que vous faites confiance à Apple et vous partez du principe qu'aucun employé de la société n'utilisera les données de votre nouvel iPhone pour vous faire chanter ou pour voler votre numéro de carte de crédit afin de se faire plaisir. Ou du moins, vous sentez que le faible risque que cela arrive vaut les incroyables nouvelles fonctionnalités.

Mais l'Apple d'aujourd'hui ne sera peut-être pas l'Apple de demain. Supposons qu'un groupe d'investisseurs riches et secrets achète une participation majoritaire dans Apple. Ils évinceraient le Conseil d'administration et décideraient de vendre toutes les données utilisateur/iPhone détenues sur les serveurs d'Apple au plus offrant. Ce phénomène est connu sous le nom de basculement. Le fait de faire confiance aux personnes à la tête d'une institution qui détient vos données sensibles aujourd'hui ne vous protège pas de la possibilité que ces personnes partent, et que le basculement soit effectué contre vous.

Ce n'est pas une exagération : le risque de basculement se manifeste aujourd'hui de manière très réelle. Par exemple, Fitbit a été acquis par Google en 2019. Si vous étiez l'un des 28 millions d'utilisateurs de Fitbit au moment de l'acquisition, vos données de santé sensibles étaient soudainement remises à une nouvelle entreprise en qui vous n'avez peut-être pas confiance. L'acquisition par Amazon de PillPack en 2018 est un autre exemple d'un géant de la technologie acquérant des données utilisateur sensibles. Et la liste continue.

Le risque de basculement s'applique également aux employés internes. En fait, c'est la façon la plus courante dont les données utilisateur sensibles sont exposées. Un administrateur Cloud qui est également un divorcé amer espionne son ex. Ou un ingénieur réseau qui est également un fan obsédé traque une célébrité. Au début de cette année, Amazon a licencié plusieurs employés de Ring pour avoir consulté des séquences vidéo de clients sans consentement. Le cryptage C2S a ouvert une boîte de Pandore de risques similaires.

Quelle est l'avenir du cryptage ?

En tant qu'utilisateur, vous ne devez jamais faire confiance à une entreprise détenant les clés de vos données pour ne pas abuser de son pouvoir ou remettre vos données à des annonceurs contre rémunération. De nos jours, la plupart d'entre nous sont anesthésiés par le traitement constant de nos données, mais il existe une meilleure solution. Chercher des produits véritablement cryptés E2E peut nous isoler de ces risques et éliminer la possibilité que des intermédiaires ou des étrangers aient accès à nos données. Ce problème ne se limite pas aux ordinateurs portables et aux téléphones ; en fait, la menace entre rapidement dans nos foyers.

La plupart des propriétaires de maison aujourd'hui ont un certain type de dispositifs connectés à Internet. Qu'il s'agisse d'un réfrigérateur prévenant un fabricant que le thermomètre ne fonctionne pas, d'un haut-parleur intelligent Alexa racontant des blagues à la demande, ou d'un Nest qui vous garde au chaud à la température parfaite, votre maison est presque certainement maintenant « intelligente » d'une manière ou d'une autre.

Posséder des dispositifs intelligents aujourd'hui est à la fois pratique et effrayant — si nos appareils peuvent nous parler, alors à qui d'autre parlent-ils ? Cette nouvelle réalité exige que nous choisissions les produits judicieusement, car les implications sur la sécurité de nos foyers et de nos familles n'ont jamais été aussi grandes. Heureusement, une nouvelle vague de produits cryptés E2E émerge pour offrir la propriété et le contrôle des données aux utilisateurs, et non aux entreprises.

Un avenir centré sur l'humain et respectueux de la vie privée est à l'horizon. Un où nous pouvons regarder nos dispositifs intelligents sans avoir de doute que, maintenant où plus tard, nous ne sommes pas observés, écoutés ou suivis sans notre consentement. En appliquant le cryptage E2E avec des technologies fiables et inviolables, telles que la blockchain, nous pouvons éliminer toute ambiguïté, subjectivité et doute sur la protection réelle de nos données.

La blockchain peut porter le cryptage E2E à des hauteurs encore plus grandes pour réaliser un cryptage E2E individualisé, où les clés de vos données seront émises par une blockchain de confiance et détenues exclusivement par vous. Une approche centrée sur l'humain — plus de violations de données, plus de victimes de fausses revendications. Alors que cette philosophie est appliquée à des caméras de sécurité domestiques, à des dispositifs de suivi personnel et à d'autres dispositifs intelligents, une nouvelle révolution #OwnYourData émergera. Avec un cryptage E2E individualisé, nous pouvons éliminer le risque de basculement et reprendre le contrôle de nos données une fois pour toutes.

À propos d'IoTeX

Fondé en tant que plateforme open source en 2017, IoTeX construit l'Internet des Choses de Confiance, un écosystème ouvert où toutes les « choses » — humains, machines, entreprises et DApps — peuvent interagir avec confiance et confidentialité. Soutenu par une équipe mondiale de plus de 30 chercheurs et ingénieurs de haut niveau, IoTeX combine blockchain, matériel sécurisé et informatique confidentielle pour permettre la prochaine génération de dispositifs IoT, de réseaux et d'économies. IoTeX va autonomiser la future économie décentralisée en « connectant le monde physique, bloc par bloc ».

En savoir plus : Site web | Twitter | Telegram | Medium | Reddit