Toute cryptographie n'est pas égale

Encryption makes the digital world work. It consists of a few elegant math equations that scramble data before being sent over the internet where prying eyes could otherwise intercept it, read it, and manipulate it.

Not All Encryption Is Created Equal

La cryptographie fait fonctionner le monde numérique. Elle consiste en quelques élégantes équations mathématiques qui brouillent les données avant d'être envoyées sur Internet où des yeux curieux pourraient sinon les intercepter, les lire et les manipuler. La cryptographie est la raison pour laquelle tout, des transactions financières aux secrets d'État, circule sur Internet presque instantanément, débloquant d'énormes quantités d'innovation, de richesse et de prospérité en conséquence.

Mais toute cryptographie n'est pas égale. Certaines formes de cryptographie exposent les communications des utilisateurs d'Internet à des entreprises privées et à d'autres tiers avec qui elles choisissent de partager vos données.

De nos jours, de nombreuses entreprises technologiques affirment avoir des produits qui sont "cryptés de bout en bout". Cela est souvent trompeur. En mars, Zoom a faussement affirmé dans son livre blanc sur la sécurité que les hôtes pouvaient activer une "réunion cryptée de bout en bout" d'un simple clic. Après une réaction, Zoom a discrètement modifié le langage dans son livre blanc pour éviter d'utiliser le terme "crypté de bout en bout".

Dans ce scénario, Zoom a échoué à reconnaître une distinction cruciale entre la cryptographie standard du web, souvent appelée cryptographie "client-serveur" (C2S), et la véritable cryptographie de bout en bout (E2E).

La différence entre la cryptographie C2S et E2E ne peut être sous-estimée. En d'autres termes, c'est la différence entre communiquer de manière privée et avoir tout ce que vous faites surveillé.

Illustration de la différence entre la cryptographie client-serveur et la cryptographie de bout en bout
Client-serveur (C2S) vs. Bout-en-bout (E2E) Cryptographie || Source : Wickr

Aujourd'hui, les entreprises qui utilisent la cryptographie C2S décryptent, traitent et stockent nos données non chiffrées sur des serveurs Cloud pour nous fournir des services. Mais ce n'est pas tout ce qu'elles font — trop souvent, ces entreprises abusent de notre confiance en nous espionnant, en violant nos données, et en manipulant nos actions. En d'autres termes, la cryptographie C2S a un talon d'Achille — elle place les entreprises et les fournisseurs de services au milieu des expéditeurs et des destinataires, leur donnant un accès total à nos données et communications.

La cryptographie E2E couvre le talon d'Achille de la C2S et permet des communications bilatérales vraiment privées. C'est ce que signifie E2E — une "extrémité" est l'expéditeur et l'autre "extrémité" est le destinataire. Le traitement est effectué localement sur les appareils ("à la périphérie"), supprimant ainsi le besoin de serveurs centralisés ennuyeux qui permettent aux entreprises, aux tiers, et à d'autres de nous écouter.

La cryptographie C2S nous expose au "risque de basculement".

Les dangers de la cryptographie C2S peuvent être résumés par le risque de basculement. Qu'est-ce que le risque de basculement ? Disons que vous achetez un produit d'une entreprise que vous adorez et en qui vous avez une confiance inconditionnelle — pour simplifier, nous prendrons Apple comme exemple. Imaginez qu'Apple déploie un nouvel iPhone où toutes les données du téléphone sont chiffrées sur les serveurs d'Apple à l'aide d'une forme de cryptographie C2S (remarque : juste un exemple, pas la façon dont Apple chiffre les données de l'iPhone aujourd'hui).

Vous faites confiance à Apple. Et ce nouvel iPhone est tellement rempli d'améliorations comme l'identification rétinienne, une caméra qui peut zoomer assez loin pour voir des cellules, et un processeur capable de calculer le dernier chiffre de Pi. Vous achetez cet iPhone. Vous l'achetez parce que vous faites confiance à Apple et que vous supposez que personne dans l'entreprise ne va utiliser les données de votre nouveau téléphone pour vous faire chanter ou pour voler vos informations de carte de crédit pour se faire plaisir. Ou du moins, vous estimez que le faible risque d'une telle chose vaut les incroyables nouvelles fonctionnalités.

Mais l'Apple d'aujourd'hui peut ne pas être l'Apple de demain. Disons qu'un groupe d'investisseurs riches et secret achète une participation majoritaire dans Apple. Ils évinceraient le conseil d'administration et décideraient de vendre toutes les données d'utilisateur/iPhone détenues sur les serveurs d'Apple au plus offrant. Ce phénomène est connu sous le nom de basculement. Le fait que vous fassiez confiance aux personnes à la tête d'une institution qui détient vos données sensibles aujourd'hui ne vous protège pas de ces personnes qui quittent finalement l'institution, et déclenchent le basculement sur vous.

Ce n'est pas une hyperbole — le risque de basculement se manifeste de manière très réelle aujourd'hui. Par exemple, Fitbit a été acquis par Google en 2019. Si vous étiez l'un des 28 millions d'utilisateurs de Fitbit au moment de l'acquisition, vos données de santé sensibles ont soudainement été transmises à une nouvelle entreprise que vous ne connaissez peut-être pas ou ne faites pas confiance. L'acquisition de PillPack par Amazon en 2018 est un autre exemple d'un géant technologique acquérant des données sensibles d'utilisateurs. Et la liste continue.

Le risque de basculement s'applique également aux employés internes. En fait, c'est la manière la plus courante par laquelle les données sensibles des utilisateurs sont exposées. Un administrateur Cloud qui est aussi un divorcé éconduit espionne son ex. Ou un ingénieur réseau qui est aussi un fan hystérique traque une célébrité. Plus tôt cette année, Amazon a licencié plusieurs employés de Ring pour avoir visionné des vidéos de clients sans consentement. La cryptographie C2S a ouvert une boîte de Pandore de risques similaires.

Quel est l'avenir de la cryptographie ?

En tant qu'utilisateur, vous ne devriez jamais faire confiance à une entreprise qui détient les clés de vos données pour ne pas abuser de son pouvoir ou transmettre vos données aux annonceurs à des fins de profit. De nos jours, la plupart d'entre nous sont anesthésiés par le traitement constant de nos données, mais il existe une meilleure façon. Rechercher des produits véritablement cryptés de bout en bout peut nous isoler de ces risques et supprimer la possibilité d'intermédiaires ou d'étrangers ayant accès à nos données. Ce problème ne se limite pas aux ordinateurs portables et aux téléphones ; en fait, la menace pénètre rapidement dans nos foyers.

La plupart des propriétaires de maisons aujourd'hui ont un certain type d'appareils connectés à Internet. Que ce soit un réfrigérateur qui avertit un fabricant que le thermomètre ne fonctionne pas, ou un haut-parleur intelligent alimenté par Alexa racontant des blagues à la demande, ou un Nest qui vous garde au chaud à la température parfaite, votre maison est presque certainement maintenant "intelligente" d'une manière ou d'une autre.

Posséder des appareils intelligents aujourd'hui est à la fois pratique et effrayant — si nos appareils peuvent nous parler, alors qui d'autre leur parle ? Cette nouvelle réalité exige que nous choisissions des produits judicieusement, car les implications sur la sécurité de nos foyers et de nos familles n'ont jamais été aussi grandes. Heureusement, une nouvelle vague de produits cryptés de bout en bout émerge pour offrir la propriété et le contrôle des données aux utilisateurs, et non aux entreprises.

Un avenir centré sur l'humain et respectueux de la vie privée est à l'horizon. Un avenir où nous pouvons regarder nos appareils intelligents sans aucun doute que, maintenant ou plus tard, nous ne sommes pas surveillés, écoutés ou suivis sans notre consentement. En appliquant la cryptographie E2E avec des technologies fiables et à l'épreuve des violations, telles que la blockchain, nous pouvons éliminer toute ambiguïté, subjectivité et doute concernant la protection réelle de nos données.

La blockchain peut porter la cryptographie E2E à des sommets encore plus élevés pour atteindre une cryptographie E2E individualisée, où les clés de vos données seront créées par une blockchain de confiance et détenues exclusivement par vous. Une approche centrée sur l'humain — plus de violations de données, plus de victimes des fausses affirmations. Alors que cette philosophie est appliquée aux caméras de sécurité domestiques, dispositifs de suivi personnel et autres appareils intelligents, une nouvelle révolution #OwnYourData émergera. Avec une cryptographie E2E individualisée, nous pouvons éliminer le risque de basculement et reprendre le contrôle de nos données une bonne fois pour toutes.

À propos d'IoTeX

Fondée comme une plateforme open source en 2017, IoTeX construit l'Internet des Objets de Confiance, un écosystème ouvert où toutes les "choses" — humains, machines, entreprises et DApps — peuvent interagir avec confiance et vie privée. Soutenue par une équipe mondiale de plus de 30 chercheurs et ingénieurs de premier plan, IoTeX combine blockchain, matériel sécurisé et informatique confidentielle pour permettre des appareils IoT de nouvelle génération, des réseaux et des économies. IoTeX va renforcer l'économie décentralisée future en "connectant le monde physique, bloc par bloc".

Pour en savoir plus : Site Web | Twitter | Telegram | Medium | Reddit