Chiffrement et Cloud : des notions irréconciliables ? L'utilisation de stockage dans le cloud est de plus en plus fréquente, voire inévitable. Cela permet aux collaborateurs de travailler sur un même espace de stockage centralisé, que ce soit avec des collègues ou des clients, facilement et sans friction.

Cependant, ces services sont souvent utilisés pour partager, sauvegarder et stocker des données métier confidentielles, telles que des :

  • fichiers contenant de la propriété intellectuelle ;
  • documents de réponses commerciales ;
  • fiches RH.

Généralement, dans les versions de base de ces services, très peu de mesures sont mises en œuvre pour assurer la confidentialité de ces données. Pour y répondre, les hébergeurs proposent souvent des options complémentaires, fréquemment facturées en sus, incluant du chiffrement de données.

Le chiffrement cloud proposé par les hébergeurs

Les hébergeurs de services cloud proposent certains services de chiffrement en Cloud, généralement en option. On peut par exemple nommer OneDrive Entreprise, dont la documentation référence les deux méthodes de sécurisation suivantes :

  • le chiffrement du transport (via HTTPS / TLS) ;
  • le chiffrement au repos des données (via AES).

Des propositions similaires sont faites pour DropBox (documentation) et Google Drive (documentation).

Le chiffrement du transport est un faux indicateur de confiance. Aujourd'hui, un service doit proposer (voire imposer) l'accès à ses services via HTTPS. C'est d'ailleurs pour cela que les navigateurs affichent désormais une alerte pour tout service n'ayant pas cette protection.

Le chiffrement des données via AES est cependant un indicateur plus compliqué à interpréter. Il s'agit généralement d'un chiffrement uniquement côté serveur, donnant un faux sentiment de confiance pouvant tromper l'utilisateur. C'est ce que nous allons tenter d'expliquer.

Le chiffrement du cloud : seulement côté serveur

Quand un hébergeur annonce un chiffrement de fichier dans son Cloud, il s'agit, dans la quasi-totalité des cas, uniquement d'un chiffrement côté serveur.

En effet, lors de l'utilisation d'un service Cloud, les fichiers sont d'abord transférés dans leur version en clair sur le serveur de l'hébergeur. Ils sont ensuite protégés avec du chiffrement par le serveur. L’idée est donc que la donnée est protégée une fois sur le serveur sécurisé du service, mais l'hébergeur a accès à une version en clair des fichiers.

Ce mécanisme est illustré dans le schéma suivant :

Cela protège au mieux d'un vol d'un disque dur dans le data-center. Est-ce vraiment utile ?

Au contraire, cela ne protège pas des risques pour lequel le chiffrement a un réel intérêt tels que :

  • un vol de mot de passe d'un utilisateur, puisque le mot de passe suffit à récupérer les fichiers ;
  • un piratage de la boîte email d'un utilisateur, puisqu'un accès à la boîte email suffit à renouveler la plupart des mots de passe ;
  • une fuite de données des serveurs de l'hébergeur qui détiennent à la fois les clés et les documents chiffrés, permettant à un attaquant d’accéder à la donnée en clair très simplement.

Pour résumer les choses en peu de mots, le chiffrement côté serveur de l'hébergeur ne suffit pas, il faut une autre solution.

Vous souhaitez en savoir plus sur Seald ? Contactez-nous !

Better Seald than sorry.

Découvrez Seald !