Le chiffrement pour assurer la confidentialité
Venons en maintenant à l’aspect "chiffrement". Sans entrer dans le détail, pour chiffrer une information, il faut un algorithme et une clé, et il faut aussi une autre clé (chiffrement asymétrique) ou la même (chiffrement symétrique) pour déchiffrer. Le plus souvent on utilise le chiffrement symétrique pour chiffrer et déchiffrer et le chiffrement asymétrique pour échanger les clés de chiffrement symétrique. Dans le Cloud, si on chiffre, la question est de savoir "qui doit gérer les clés ?".
Si l’utilisateur gère lui-même ses clés, seul celui qui a les clés pourra manipuler l’information confiée au Cloud, ce qui semble être une bonne solution. Mais il ne faut pas cacher que la gestion des clés de chiffrement, la génération d’aléas et de clés secrètes symétriques, le renouvellement de ces clés, la gestion des clés privées asymétriques et des certificats (problèmes des PKI – Infrastructures de clés publiques) ne sont pas des tâches particulièrement simples. Alors, puisque le Cloud est là pour simplifier la tâche de l’utilisateur en l’affranchissant de la technique, pourquoi ne pas confier également la gestion des clés à un Cloud ?
Le problème est alors que si vos informations chiffrées sont dans un Cloud, avec le moyen de les déchiffrer, il faut que vous gardiez une sacrée confiance envers le prestataire mais également dans le fait que parmi les autres clients du Cloud, certains n’en profiteront pas pour utiliser les clés et déchiffrer vos données. Il est sûr que ce n’est pas une chose triviale que de déchiffrer les données des autres, avec les clés qu’on a récupérées. De plus cela suppose une certaine porosité, dont on a déjà parlé, et qui n’est pas le cas "naturel" d’un Cloud. Mais où s’arrête la méfiance lorsque la sécurité est en jeu ?
Une idée est de confier ses données chiffrées à un prestataire de Cloud et la gestion des clés de chiffrement à un prestataire d’un autre Cloud. Ainsi l’utilisateur est débarrassé du souci de la gestion de ses clés. N’est-ce pas précisément la fonctionnalité attendue d’un Cloud ? : Simplifier la vie, économiser les ressources financières et humaines, occulter les difficultés techniques, en un mot laisser gérer les affaires des clients sans les obliger à entrer dans des détails qui ne sont pas dans leur corps de métier ? C’est je pense une bonne idée et l’avenir apportera de tels montages avec les "méta Clouds". Un nuage de nuages pour que ciel reste dégagé de toutes difficultés au dessus des utilisateurs ! Mais les métaclouds aujourd’hui sont plutôt du domaine des recherches avancées dans les laboratoires, et n’ont pas encore, à ma connaissance, de déclinaison pratique.
Donc, pour répondre à la question : "Faut-il chiffrer tout ce qu’on met dans un Cloud ?", la réponse que je ferai à ce stade est : Non pas tout ce qu’on y met, mais il faut, au moins dans un Cloud non privé, chiffrer l’information confidentielle pour assurer sa confidentialité. Mais il faut aussi gérer les clés de chiffrement alors soit on prend le risque de confier cette gestion à un prestataire de Cloud, soit on le fait soi-même.
Mais le chiffrement peut assurer bien plus que la seule confidentialité.