Après un passage à la gestion des réseaux des succursales d’une banque canadienne à l’approche de l’an 2000, j’ai accepté un nouveau poste comme leader des ventes nationales de solution de commerce électronique chez un grand fournisseur de logiciels. À l’époque, le commerce électronique constituait un choix de carrière intéressant, surtout après la soi-disant chute des sociétés technologiques en 2000 et 2001.
À ce moment-là, l’une des objections les plus courantes soulevées par les dirigeants de commerces de détail lors de mes démarches de vente était qu’ils estimaient que leurs consommateurs ne seraient pas à l’aise d’effectuer des paiements par carte de crédit en ligne. Quand on considère tout le battage médiatique et les attentes démesurées de l’époque, cette objection était fondée. Après tout, c’était avant le déploiement des puces électroniques et des différentes mesures de sécurité supplémentaires. Cependant, il m’a toujours semblé étrange qu’un consommateur remette volontiers sa carte de crédit à un pur inconnu au restaurant ou à une station-service afin qu’il puisse traiter la transaction, hors de sa vue. Pourquoi ce même consommateur hésitait-il ou se refusait-il à entrer son numéro de carte de crédit sur un site web entièrement protégé par un système de chiffrement numérique?
La sécurité sur internet repose sur le protocole SSL (Secure Sockets Layer), dont la variante plus récente est le protocole TLS (Transport Layer Security). Il s’agit d’une forme de chiffrement qui permet à deux parties inconnues l’une de l’autre d’échanger de l’information par l’entremise d’un code, indéchiffrable pour un tiers, par exemple lorsqu’un consommateur achète un bien en ligne en utilisant un navigateur ou une application, qu’un détaillant exploite un site web ou qu’un client effectue une opération bancaire ou un placement en ligne auprès d’une institution financière. Les pirates informatiques cherchent constamment des moyens de pénétrer dans ces systèmes de transactions en ligne afin d’y recueillir des données sensibles.
Comment le protocole SSL protège-t-il vos transactions en ligne? Grâce au chiffrement asymétrique, aussi connu sous le nom de chiffrement à clé publique. Une clé de chiffrement est un élément (par exemple un nombre entier de plusieurs bits) qui peut être combiné avec des données sources par l’entremise d’un algorithme qui permettra de les chiffrer ou de les déchiffrer. Dans le cas du chiffrement à clé publique, les deux parties d’une transaction conviennent d’utiliser une clé publique partagée qui fonctionne conjointement avec la clé privée de chacune des parties afin de chiffrer et de déchiffrer les données échangées.Pour en savoir plus sur le fonctionnement des clés, lisez l’excellent article « Échange de clés Diffie-Hellman » sur Wikipédia.
Lorsque le chiffrement asymétrique est utilisé pour protéger les données en transit, il protège aussi généralement les données statiques, comme les documents stockés, les bases de données et les autres référentiels. La même clé est alors utilisée pour chiffrer les données, puis pour les déchiffrer. Souvent, on utilise plusieurs séries de chiffrements avec clé pour s’assurer que le chiffrage soit le plus aléatoire possible. Les données chiffrées de façon symétrique sont plus vulnérables aux cyberattaques, car un pirate pourrait tenter de percer le code et obtenir le texte simple sous-jacent en se basant sur la fréquence d’apparition des lettres courantes. Le chiffrement symétrique protège aussi les certificats internet qui garantissent l’authenticité d’une source de données, ainsi que les registres de chaînes de blocs.
Dans les deux types de chiffrement, il s’agit de générer une clé suffisamment élaborée pour empêcher une attaque par force brute qui utilise l’ingénierie inversée pour percer le code. Cela se fait généralement en concevant des algorithmes de chiffrement à clé fondés sur des calculs très complexes. La première difficulté est de trouver les facteurs premiers de très grands nombres entiers qui servent ensuite à effectuer les calculs. Le chiffrement asymétrique RSA-2048 est basé sur des clés de 2 048 bits qu’un ordinateur courant pourrait déchiffrer… en quelques millions d’années! D’autres algorithmes logarithmiques sont également utilisés, et tous se sont révélés très efficaces pour protéger les données échangées sur le web jusqu’à présent.
Aujourd’hui, comme je l’explique dans mon autre billet, l’informatique quantique jette une ombre au tableau.
Un nouveau bogue à l’horizon?
Les ordinateurs quantiques sont particulièrement utiles pour résoudre des problèmes mathématiques complexes. En 1994, le mathématicien américain Peter Shor a prouvé qu’un ordinateur quantique serait capable d’établir la factorisation de nombres entiers en temps polynomial plutôt qu’en temps exponentiel, ce qui signifie qu’un problème résolu en milliers d’années par un ordinateur classique le serait en quelques minutes par un ordinateur quantique. L’algorithme de Shor est devenu une façon abrégée de parler des années avant la factorisation par ordinateur quantique – le « Y2Q ». Ainsi, un ordinateur quantique qui se retrouverait entre les mains d’un cybercriminel lui permettrait de mener une attaque par force brute et d’accéder à toutes les données protégées par un chiffrement à clé publique ou asymétrique. En 1996, l’algorithme de Grover, nommé d’après le chercheur en informatique Lov Grover, a permis d’obtenir des résultats semblables, quoique moins radicaux, pour le chiffrement symétrique.On peut donc supposer avec circonspection que toute clé de chiffrement peut théoriquement être la cible d’une attaque quantique.
Ainsi, l’utilisation malveillante de l’informatique quantique aurait d’importantes répercussions :
- Le protocole SSL ne protégerait plus les échanges sur le web. Les sessions fondées sur le protocole HTTPS qui protège le commerce électronique et les transactions financières en ligne seraient alors vulnérables face aux pirates cherchant à déchiffrer les données en vue d’usurper des identités, ou à voler des renseignements bancaires ainsi que des numéros de carte de crédit et d’assurance sociale. Les transactions financières et commerciales en ligne, tout comme les transactions gouvernementales, seraient interrompues.
- Vol de données. Pensez à WikiLeaks, mais à une échelle bien plus vaste. Avec le déchiffrement quantique, d’énormes quantités de documents gouvernementaux classifiés, de dossiers médicaux personnels, d’historiques financiers et d’autres données seraient soudainement du domaine public.
- Perte de confiance. Les signatures numériques (rendues possibles grâce au chiffrement asymétrique) pourraient être dupliquées de façon à ce qu’il n’existe plus aucun moyen de vérifier l’authenticité des documents signés, comme les certificats SSL, les contrats électroniques ou même les registres de chaînes de blocs.
Il est difficile d’évaluer l’incidence économique de ces trois points, mais le pire des scénarios serait la perte de confiance quasi totale des consommateurs à l’égard des transactions en ligne et du stockage de données confidentielles. L’informatique quantique malveillante serait un désastre pour l’internet.
Dans un prochain billet, nous examinerons des moyens de faire face au Y2Q et de gagner la course contre la montre lorsqu’il s’agit de se protéger en ligne.
Publication multilingue
Cette publication est aussi offerte dans les langues suivantes :
Tenez-vous au courant de sujets qui vous intéressent.
Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.