Protection des données personnelles : le cloud, solution ou problème ?

Le virus Flame soulève une nouvelle fois la question de la protection de nos données. Invisible, son rôle est d’espionner et de rapporter des données à ses maîtres avant de disparaître, une fois sa mission terminée. Si, comme Stuxnet, il a été utilisé à des fins politico-stratégiques, le potentiel d’un tel outil dans un but lucratif, pour voler toutes sortes de données confidentielles, ou encore pour effectuer un profiling extrêmement poussé, fait encore plus froid dans le dos.

Une solution simple pour minimiser le risque sur nos propres médias de stockage est de se reposer sur des services en ligne. Conserver nos données dans le cloud est une solution alléchante. C’est déjà ce que nous faisons pour stocker nos e-mails, photos ou fichiers musicaux, dès lors que nous faisons appel à des services en ligne.

De manière générale, le volume de données personnelles stockées à distance, à notre insu ou sans que nous en ayons pleinement conscience, comme sur les réseaux sociaux, croît vertigineusement. Toutes les entreprises qui nous connaissent sont susceptibles de conserver nos données dans leur système d’information. La sécurité de ces données, qui revêtent souvent un caractère confidentiel, repose alors sur la robustesse de ces systèmes, sur lesquels nous n’avons aucun contrôle.

De nombreux incidents avec de lourdes conséquences

Peut-on faire confiance au cloud pour protéger nos données ? Même lorsque nos informations sont conservées selon des exigences de sécurité, leur protection repose en général sur des systèmes de protection locaux – à la merci de pirates qui pénétreraient dans les serveurs. On se souviendra ainsi du scandale du PlayStation Network, du vol, plus récent, de millions de numéros de cartes bancaires stockées chez un intermédiaire de paiement en ligne, ou encore de la perte, il y a quelques jours, de millions de mots de passe de LinkedIn.

Le cloud déplace le centre d’intérêt des pirates vers les serveurs de Google, Amazon et autres, et amène de nouveaux problèmes. Pourquoi nos données, une fois transférées de nos appareils vers les infrastructures d’entreprises commerciales, avec un stockage soumis à des conditions contractuelles que nous avons souvent omis de lire, seraient-elles plus en sécurité ?

Le chiffrement toujours le chiffrement

Des solutions existent, basées sur la cryptographie, qui permettent de stocker les données en ne les rendant accessibles qu’à leur propriétaire. Les solutions classiques ne sont cependant pas parfaites, car elles doivent répondre à des besoins potentiellement contradictoires : accès à un mode de secours pour retrouver les données en cas de perte des secrets, possibilités de partage avec des tiers, de traitement à distance : qui a envie de rapatrier un téraoctet de stockage pour faire une recherche dans des documents ?

La recherche d’algorithmes cryptographiques adaptés au cloud est donc en pleine effervescence, comme le montre la découverte du chiffrement homomorphique. Cependant, ces nouveaux algorithmes n’apportent pas une réponse générique à tous les problèmes évoqués ci-dessus. En attendant de trouver la bonne combinaison qui constituera le Graal de la cryptographie du cloud, celui-ci, dans son état actuel, déplace les risques de nos équipements personnels vers des serveurs hors de notre contrôle. La sagesse voudrait que, concernant des données aussi sensibles que des numéros de cartes bancaires, leur stockage garantisse une impossibilité d’accès sans le concours actif de l’utilisateur. Si, dans le futur, nous avons de plus en plus tendance à confier notre portefeuille à des poches virtuelles, ne devrions-nous pas avoir le contrôle de l’accès à ces poches ?