La cryptographie, plus accessible que jamais

Publié le 18/05/2013 à 00:00

La cryptographie, plus accessible que jamais

Publié le 18/05/2013 à 00:00

Par Julien Brault

Pas une semaine ne se passe sans qu'on entende parler d'une attaque informatique majeure. Les victimes de ces attaques sont en règle générale de grandes entreprises, mais souvent, leurs partenaires d'affaires sont eux aussi touchés. Cette nouvelle réalité rend la sécurité informatique plus attrayante que jamais.

«Les entreprises prennent conscience que, même si elles ne sont pas nécessairement visées, elles pourraient être exposées si leur fournisseur était victime d'une attaque ou d'une faille», dit Jean Loup Le Roux, conseiller en sécurité de l'information chez In Fidem, de Montréal.

Heureusement, les technologies liées à la sécurité informatique sont de plus en plus accessibles.

C'est en prenant connaissance d'une faille de sécurité ayant touché le logiciel Evernote que Nadim Kobeissi a eu l'idée de mettre au point un produit concurrent ayant la particularité de tout crypter en temps réel. «Après avoir essayé Evernote, j'étais certain que je pourrais développer un bien meilleur produit qui, en plus, serait sécuritaire», dit le Montréalais âgé seulement de 22 ans.

Un mois plus tard, le 1er avril dernier, M Kobeissi lançait Bluenote, un logiciel Mac de prise de notes, de listes de tâches et de gestion de mots de passe vendu au prix de 5,99 $. Depuis, la version d'essai du logiciel a été téléchargée à plus de 10 000 reprises. Près de 1 000 utilisateurs ont acheté la version complète. L'entrepreneur, à qui on doit également le service de messagerie crypté gratuit Cryptocat, souhaite maintenant mettre au point une application iPhone.

Protection des données

Au sud de la frontière, Silent Circle a lancé des applications iPhone et Android permettant de crypter les conversations téléphoniques et les messages textes. Le service de cryptage de Silent Circle, dont l'abonnement de base coûte 20 $ par mois, est utilisé aussi bien par les particuliers que par les entreprises et les gouvernements.

«Je pense que les consommateurs se rendent compte qu'ils sont en train de perdre le contrôle de leur vie privée», dit Phil Zimmermann, pdg de Silent Circle, qui a introduit le standard de cryptage de courriels PGP dans les années 1990.

M. Zimmermann croit que le cryptage est beaucoup plus facile à vendre de nos jours. «Dans les années 1990, quelqu'un qui cryptait ses données se faisait demander pourquoi, si c'était parce qu'il avait quelque chose à cacher. Aujourd'hui, au contraire, une entreprise qui ne le fait pas peut être jugée irresponsable lorsqu'une fuite survient», explique l'expert.

Les logiciels cryptés vendus aux consommateurs ont également pour caractéristique d'être d'utilisation facile. «Vous n'avez pas besoin de comprendre ce qu'est la cryptographie pour utiliser Silent Circle : son interface est aussi conviviale que celle de n'importe quelle application de messagerie, même si, derrière les rideaux, le processus est plutôt complexe», explique M. Zimmermann.

Pour Nadim Kobeissi, cette «consumérisation» de la sécurité informatique pourrait déboucher sur des logiciels plus résistants aux attaques. Selon lui, les mesures de sécurité qui complexifient la tâche des utilisateurs constituent elles-mêmes des risques, puisqu'elles pourraient inciter les utilisateurs à prendre des raccourcis ou être à l'origine d'erreurs humaines.

«L'accessibilité et la facilité d'utilisation sont en fait des questions de sécurité informatique aussi importantes que celle de la cryptographie. S'il y a une faille dans l'un ou l'autre des aspects, et que des données sont compromises, le résultat sera le même», explique-t-il.

QUI A LA CLÉ DE CRYPTAGE ?

Un très grand nombre de services en ligne ont recours à une forme ou une autre de cryptage. Là où se démarquent les produits qui mettent en avant le cryptage tels que Silent Circle, Cryptocat, Bluenote et le service d'hébergement Mega, c'est que les clés de cryptage ne sont pas entreposées sur les serveurs des éditeurs de logiciels.

Par conséquent, les données de leurs clients sont à l'abri d'une attaque informatique touchant leurs serveurs. De plus, ces fournisseurs n'ont pas les moyens techniques de remettre aux autorités les données de leurs clients.

Malgré cet obstacle technique, Silent Circle, bien qu'elle soit établie aux États-Unis, a installé ses serveurs à Montréal et à Toronto afin d'échapper au cadre législatif américain, dont les remparts face aux requêtes des autorités sont moins solides.

julien.brault@tc.tc

À la une

Grève au CN: Legault demande au gouvernement fédéral une loi spéciale

À son avis, il y a un état d’urgence en raison des risques de pénurie de propane.

Grève au CN: le milieu des affaires souhaite un dénouement rapide

Plusieurs associations du milieu des affaires exhortent l'employeur et le syndicat à dénouer l'impasse.

À surveiller: Metro, CP et Target

Que faire avec les titres de Metro, CP et Target? Voici quelques recommandations d'analystes.