Tech

Le chiffrement : l’arme des géants du Cloud pour nous redonner confiance ?

Le cloud est flexible, puissant, pratique. Mais comment être sûr que les opérateurs du Cloud ne feront pas fuiter les données que nous leur confions ? Machines virtuelles confidentielles et chiffrement sur le terminal client sont deux techniques qui peuvent répondre à cette problématique.

Avec le cloud computing (informatique en nuage), il est possible d’utiliser des ressources informatiques à la demande, avec un paiement à l’usage. Un modèle particulièrement flexible, que les entreprises n’ont pas tardé à adopter pour y déployer leurs serveurs (l’IaaS, Infrastructure as a service) ou pour y consommer des services prêts à l’emploi, les solutions SaaS (Software as a service).

Dans les deux cas, une même problématique se pose : celle de la confidentialité des données hébergées sur le cloud. Les géants opérateurs d’infrastructures Cloud - les hyperscalers (dont les GAFAM : Google, Apple, Facebook-Meta, Microsoft) - peuvent à tout instant voir ce qui transite sur leurs machines… au même titre que les services de renseignement de leur pays d’appartenance.

Le chiffrement des communications réseau et du stockage ne permet pas de se protéger de ces oreilles indiscrètes opérant de l’intérieur, car c’est l’hyperscaler qui détient les clés ou code permettant de chiffrer et déchiffrer les données.

Ériger un mur autour de ses serveurs cloud

Une nouvelle technique permet d’héberger des ressources sur le Cloud en toute sécurité, y compris sur des infrastructures susceptibles d’être placées sous écoute : les machines virtuelles confidentielles. Ces dernières fonctionnent dans des espaces mémoire entièrement chiffrés. Seul le processeur détient la clé permettant de voir les données en clair, celles-ci restant chiffrées sur le disque dur ou l’unité SSD comme en mémoire vive.

Le principe d’utilisation est simple : la machine virtuelle est déployée sur les infrastructures de l’hyperscaler en mode confidentiel. Un outil spécifique permet de faire remonter des données clés (chiffrées et infalsifiables) concernant cet environnement informatique, afin de vérifier que le matériel, l’hyperviseur, la machine virtuelle et ses applications n’ont pas été corrompus. À chaque instant, l’administrateur du système de l’entreprise pourra vérifier l’intégrité de cet environnement Cloud.

Protéger le SaaS des oreilles indiscrètes

Difficile aujourd’hui de faire l’impasse sur les grands services SaaS, comme Microsoft 365 ou Google Workspace. Des données parfois stratégiques peuvent toutefois y circuler. La réponse consiste ici à chiffrer systématiquement les données transmises à ces services en ligne. C’est ce qu’on appelle le « chiffrement du côté client ».

Lorsqu’un utilisateur ouvre une application web, comme le tableur Google Sheets, les données sont accessibles en clair dans son navigateur web, donc du côté du poste de l’utilisateur ou « client », mais transmises sous forme chiffrée aux serveurs de Google. Et lorsqu’il souhaite les relire, Google transmet les données chiffrées au navigateur web du client, qui se chargera de les déchiffrer. À aucun moment, l’hyperscaler ne connaît la clé permettant de chiffrer ou déchiffrer les données. Cette approche est relativement sûre, même si elle peut nécessiter une analyse indépendante des applications web, afin de s’assurer qu’elles ne font pas fuiter de données directement depuis le navigateur web. Ces audits dépendront assez largement du bon vouloir des éditeurs.

Les machines virtuelles confidentielles se popularisent rapidement chez l’ensemble des hyperscalers. Quant au chiffrement du côté client, Google et Microsoft devraient prochainement le proposer sur certains de leurs services SaaS les plus populaires. Globalement, ces techniques intéressent de près les hyperscalers : ils y voient une occasion d’attirer les organisations les plus exigeantes en matière de protection des données.

David FEUGEY