Science & santé

Snapchat est-il le modèle qui inspirera l'avenir de la cybersécurité?

Neel V. Patel, traduit par Peggy Sastre, mis à jour le 19.10.2017 à 15 h 53

Pour être sûr à 100% qu'une information ne peut pas être volée, il ne suffit pas seulement de brûler le message après lecture –il faut aussi cramer la messagerie.

Donald Bowers / GETTY IMAGES NORTH AMERICA / AFP

Donald Bowers / GETTY IMAGES NORTH AMERICA / AFP

Snapchat n'est pas seulement le réseau social plébiscité par les millennials du monde entier –il commence aussi à incarner discrètement l'avenir de la cybersécurité. Voyez plutôt: à la base de la base, Snapchat vous permet d'envoyer des messages photo ou vidéo, les efface en quelques secondes et vous empêche de les récupérer. Un message auto-destructible comme protection parfaite de nos données et de nos informations –qui aurait cru qu'une bande de boutonneux assoiffés de mèmes allaient populariser la marque de fabrique de Mission impossible?

Dans le champ professionnel, des tas d'outils en sont venus à se calquer sur le modèle Snapchat. Les applications comme Whisper, Confide et Signal sont en vogue partout où circulent des informations sensibles et notamment entre les journalistes et leurs sources. Mais ces applications ont leurs limites, par exemple en ce qu'elles nécessitent une connexion internet et ne protègent pas totalement l'anonymat. Et elles ont aussi leurs failles, que des hackers tenaces (et créatifs) sont susceptibles d'exploiter.

Vers un essor des programmes à usage unique

Pour être sûr à 100% qu'une information ne peut pas être volée, il ne suffit pas seulement de brûler le message après lecture –il faut aussi cramer la messagerie. Si un programme transmettant des informations sensibles est immédiatement détruit après usage, impossible pour des acteurs mal intentionnés de le parasiter. Les données originelles sont en sécurité après avoir été utilisées comme elles le devaient. L'aubaine est évidente pour les entreprises cherchant à garder confidentiels leurs secrets industriels, les agences gouvernementales correspondant avec leurs agents à l'étranger et les citoyens lambda désireux de camoufler leur numéro de sécurité sociale.

À LIRE AUSSI  Pourquoi la radio jeune Skyrock lance une appli digne des «services secrets»

Anne Broadbent, chercheuse en informatique quantique à l'université d'Ottawa et spécialiste ès développement et expérimentation en cybersécurité, estime que les programmes à usage unique pourraient aussi protéger d'autres logiciels en jouant les cerbères d'outils stratégiques (par exemple, en créant une application de mot de passe unique pour permettre un seul accès à un arsenal militaire).

Techniquement complexe

 

Il y a juste un petit problème: concevoir un programme à usage unique est extrêmement difficile, du moins en employant des technologies conventionnelles. Ce n'est pas un moyen pour faire en sorte que les ragots de Slack n'arrivent jamais aux oreilles du patron. Selon Broadbent, des informations conventionnelles, y compris le code d'un programme à usage unique, peuvent être facilement copiées. Pour que ce genre de programme fonctionne comme il se doit, par exemple sur un MacBook actuel, il faudra détruire votre ordinateur après usage pour être sûr que le logiciel ne puisse pas être ressuscité et réutilisé. Ce qui n'est pas l'idéal.

Il faut donc dépasser les technologies conventionnelles et l'informatique quantique pourrait être une planche de salut. Dans le monde quantique, l'information est impossible à copier parce qu'elle n'existe pas dans l'état statique dans lequel nous la concevons en général. Et selon cette logique, si vous ne pouvez pas copier l'information quantique, alors un ordinateur quantique pourrait être la meilleure interface où faire tourner un programme à usage unique.

75% de réussite

 

La chose peut-elle fonctionner? Une équipe internationale de chercheurs pense que oui. Dans une prépublication, ils avancent la preuve conceptuelle d'un programme à usage unique qui marche et se détruit tout seul sur un appareil quantique.

Voilà comment. Imaginons que vous travailliez dans une très grosse agence de crédit –voire la plus grosse du pays, comme Equifax qui a été récemment piratée– et que vous cherchiez un programme pour partager –une seule fois!– les cotes de crédit de certains vos clients. Dans une logique d'usage unique, le programme va générer une analyse, la transmettre au client, puis détruire à la fois les données et le programme, pour garantir une sécurité totale du côté de l'entreprise.

Malheureusement, il y a un hic. Parce que la physique quantique est une affaire de chances et de probabilités, la fiabilité et la réussite du résultat de l'analyse –et de n'importe quelle action que le logiciel va associer aux données, comme par exemple leur transfert à une autre personne –n'est pas sûre à 100%. Dans leur étude, les chercheurs atteignent une probabilité de réussite de 75%, ce qui n'est vraiment pas si pire pour une expérience unique en son genre. Ce n'est pas l'idéal si vous voulez prouver à votre banque votre solvabilité pour un crédit immobilier, mais c'est peut-être suffisant pour transférer des informations qui seront de toutes façons détruites. Et même si l’analyse est bancale, vos données seront bien mieux protégées qu'avec n'importe quelle autre technique.

Éliminer la marge d'erreur

 

Par mesure de précaution, les chercheurs ont ajouté un autre élément clé: même si le programme ne s'autodétruit pas, il est impossible de retrouver l'information par rétro-ingénierie.

On ne sait pas bien ce que les chercheurs entendent faire de ces résultats –ils ne répondront pas aux médias tant que leur étude ne sera pas formellement validée par leurs pairs et publiée dans une revue idoine. Mais on peut prévoir qu'ils cherchent à diminuer leur marge d'erreur. Broadbent, qui n'a pas participé à l'étude mais qui l'a consultée, souligne les compromis qu'il faut toujours faire entre sécurité et fonctionnalité –les chercheurs vont probablement vouloir étendre la capacité du programme tout en garantissant sa sécurité. Mais elle est assez optimiste.

Si ce type de mesure de cybersécurité exige des processus informatiques quantiques encore peu répandus, les entreprises et les laboratoire de recherche qui gèrent des quantités astronomiques de données s'y mettent rapidement. Peut-être qu'un programme de sécurité à usage unique deviendra réalité bien plus vite que vous ne le pensez.

Neel V. Patel
Neel V. Patel (1 article)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte