Encryptage unidirectionnel par digestion |
À moins d’être soi-même un expert en cryptographie appliquée, il est impossible de protéger par nos propres moyens nos renseignements. Ou alors, il faudrait tout mémoriser, comme ces agents secrets qui avalent le bout de papier sur lequel leur mission est inscrite…
Le cloud n’est tout simplement pas plus sécuritaire, mais pas moins non plus qu’une autre solution d’hébergement de données. Et toute machine connectée à l'internet, même de manière intermittente (votre poste de travail, le serveur de votre entreprise, votre téléphone portable) est ipso facto une solution hébergée de stockage d'information. Êtes-vous certain de ne pas avoir de keylogger, ou de cheval de Troie dans votre ordinateur?
Comme dans toute chose, la réputation du tiers à qui sont confiés les renseignements est capitale. Google, par exemple, a fait ses classes du point de vue de la sécurité de son cloud. Un white paper (pdf) a été publié à cet effet. Cette approche standardise la sécurité du cloud Google, ce qui est rassurant.
Un peu de bon sens de la part de l’utilisateur n’est pas mauvais non plus. Notre entreprise a abandonné l’usage (expérimental) de Lastpass il y a près d’une année, parce qu’il semblait probable qu’un « entrepôt » de mots de passe serait fatalement hacké un jour, tant l’appât est invinciblement attirant. (Cela semble s’être produit il y a 2 semaines.) Je vous étonnerai certainement en disant que nous utilisons Dropbox pour les mots de passe maintenant, encryptés dans un fichier inviolable, puisque pour l’ouvrir un fichier clé, non partagé, est nécessaire. Le fichier de mots de passe est une aiguille dans une botte de foin, encrypté 128 bits, qui n’attire l’attention de personne. Ce n’est pas le cas de Lastpass, qui est une plage de nudistes juste en périphérie d’une prison à sécurité minimale pour pervers pépères.