À quel point vos données volées sont-elles sécurisées ?
Il y a de fortes chances que certaines de vos données aient été volées. Avez-vous déjà utilisé Yahoo ? 3 milliards de comptes Yahoo ont été dérobés en 2013. Avez-vous séjourné dans un hôtel Marriott ? 500 millions de comptes Marriott ont été volés sur quatre ans, entre 2014 et 2018. Avez-vous réussi à conserver votre ancien compte Hotmail et votre esprit rebelle d’adolescent ? 360 millions de comptes MySpace ont été piratés. Utilisez-vous MyFitnessPal ? 150 millions de comptes.
Que se passe-t-il exactement avec les données volées ? Chaque piratage est différent, mais il est presque certain qu’ils ont obtenu votre adresse e-mail, des informations utilisateur, des enregistrements de votre activité sur le site, et peut-être des informations encore plus sensibles. Bonne nouvelle : une grande partie des données les plus sensibles était probablement cryptée. Il y a également de fortes chances qu’elle ne l’ait pas été, mais prenons le meilleur scénario possible en matière de vol de données : vos informations ont été volées, mais les données sensibles ont été cryptées avec AES-256. À quel point est-ce sûr ?
Que signifie le cryptage des données ?
Le “cryptage” en matière de sécurité des données modernes fait généralement référence à la cryptographie à clé. En bref, vous saisissez les données que vous souhaitez crypter et la clé (une chaîne de lettres, de chiffres et/ou de symboles) que vous souhaitez utiliser pour le crypter. La combinaison de ces deux éléments crée un désordre indéchiffrable qui ne peut être déchiffré qu’avec la clé appropriée. Cela ne doit pas être confondu avec :
- Encodage : Utilise le même algorithme pour encoder et décoder les données, sans clé requise. C’est comme ASCII ou Unicode – complètement non sécurisé.
- Hachage : Processus de cryptage unidirectionnel qui produit le même résultat pour des entrées identiques, mais laissant des résultats très différents si les entrées varient même un peu. Ceci est généralement utilisé pour la gestion des mots de passe avec un algorithme comme SHA-256 ou bcrypt.
Par exemple :
| Méthode | Texte |
|---|---|
| Encodage (ASCII, décimal) | Gardez-le secret. Gardez-le en sécurité. |
| Cryptage (AES 256 bits) | Gardez-le secret. Gardez-le en sécurité. |
| Hachage (bcrypt) | Gardez-le secret. Gardez-le en sécurité. |
| Méthode | Avec méthode appliquée |
|---|---|
| Encodage (ASCII, décimal) | 75 101 101 112 32 105 116 32 115 101 99 114 101 116 46 32 75 101 101 112 32 105 116 32 115 97 102 101 46 |
| Cryptage (AES 256 bits, clé : Mellon) | ddg18josC+1ouYRjv5CfPoo
jKJV+y3OLtxjIeCUsL+A= | | Hachage (bcrypt, douze tours) | $2y$12$3O1EiCPdVrqZFllHJ/
.q9eZzsyzqdmLMluqlQKO1A
NtlYMva94.nS |
| Méthode | Déchiffré |
|---|---|
| Encodage (ASCII, décimal) | Gardez-le secret. Gardez-le en sécurité. |
| Cryptage (AES 256 bits) | Gardez-le secret. Gardez-le en sécurité. |
| Hachage (bcrypt) | Impossible à déchiffrer |
Les deux principaux types de cryptage sont le cryptage symétrique et le cryptage asymétrique. Le cryptage symétrique peut être déchiffré en utilisant la même clé qui a été utilisée pour le crypter, tandis que le cryptage asymétrique nécessite une clé (la clé publique) pour le crypter et une autre clé (la clé privée) pour le déchiffrer. La plupart des cryptages modernes sont asymétriques, car avoir une seule clé pour une base de données entière d’informations est très peu sécurisé.
À quel point le cryptage est-il sécurisé ? Peut-il être cassé ?
La réponse courte est oui : le cryptage peut être cassé. Une approche par force brute, qui consiste essentiellement à faire des millions de tentatives jusqu’à ce qu’une soit correcte, trouvera certainement la bonne réponse, si l’on a suffisamment de temps et de puissance de calcul. Étant donné nos capacités actuelles, le brute-forcing de AES-256 pourrait prendre jusqu’à 3 sexdécillion (3×10^51) années, et des chiffres similaires pourraient être attachés à de nombreux algorithmes de cryptage largement utilisés. À l’avenir, les ordinateurs quantiques et d’autres avancées pourraient réduire de manière significative la sécurité réelle du cryptage, mais pour l’instant, il est effectivement impénétrable.
Mais cela ne signifie pas que le cryptage est infaillible. Les attaquants sont bien conscients que les données cryptées sont inutiles sans les clés, alors que vont-ils chercher ? Les clés. La violation de données la plus catastrophique possible est celle dans laquelle les données cryptées et les clés de déchiffrement sont volées. Si la sécurité des données est correctement mise en œuvre, les clés (plusieurs clés pour différentes données, probablement par utilisateur) seront stockées de manière sécurisée dans un endroit distinct des données et devraient probablement être elles-mêmes cryptées. De plus, les clés devront être déchiffrées et récupérées de manière sécurisée chaque fois qu’il est nécessaire de déchiffrer des données, afin que les attaquants ne puissent pas les intercepter. En plus de tout cela, les clés devraient probablement être changées régulièrement.
Si le site à partir duquel vos informations ont été volées a fait tout cela, il est probable que les attaquants n’aient pas réussi à obtenir les clés, et vos données sont en sécurité jusqu’à ce que le soleil s’éteigne ou que nous inventons des ordinateurs beaucoup plus puissants. Mais quelles sont les chances que les sites respectent réellement cela, et combien de vos données sont cryptées même dans le meilleur des cas ?
Qui crypte et que crypte-t-on ?
Rappelez-vous cette liste de violations de données au début de cet article ? Vérifions-les à nouveau.
| Violation | Année | Enregistrements affectés | Crypté | Non crypté |
|---|
| Yahoo | 2013/2014 | 3 milliards | – Mots de passe hachés (principalement bcrypt, certains MD5)
– Quelques questions de sécurité | – Noms
– Adresses e-mail
– Numéros de téléphone
– Dates de naissance | | Marriott | 2014-2018 | 3-500 millions | – 8,6 millions de numéros de carte de crédit
– 20,3 millions de numéros de passeport | – Noms
– Adresses
– Dates de naissance
– Genre
– Données de programme de fidélité
– Informations de réservation
– 5,25 millions de numéros de passeport | | MySpace | 2016 | 400 millions | Mots de passe (SHA-1, sans salage) | – Adresses e-mail
– Noms d’utilisateur | | MyFitnessPal | 2018 | 150 millions | Mots de passe (bcrypt, salés, et SHA-1) | – Noms d’utilisateur
– Adresses e-mail
– Mots de passe |
Cette liste pourrait devenir très, très longue, mais vous avez compris l’idée : essentiellement, la seule chose qui est cryptée sur la plupart des sites est votre mot de passe (qui est en fait haché) et les informations de paiement. À moins qu’il ne s’agisse d’un site traitant beaucoup d’informations sensibles ou ayant un penchant pour la haute sécurité, votre violation de données a probablement exposé une grande partie de vos PII (Informations Personnellement Identifiables). C’est principalement parce que le cryptage et le décryptage nécessitent beaucoup plus de puissance de calcul, de temps, d’efforts et d’argent que de simplement les stocker en texte clair et de vous les fournir directement.
Même les informations cryptées dans ces piratages n’étaient pas toujours sûres. Yahoo et MyFitnessPal ont utilisé bcrypt pour leurs mots de passe, ce qui est un standard de cryptage fort, mais ils utilisaient également respectivement MD-5 et SHA-1, principalement pour les anciens comptes. Ce sont des algorithmes de hachage beaucoup plus faibles. MySpace a tout simplement choisi le SHA-1 sans salage, ce qui a du sens, mais cela signifie également que votre mot de passe a presque certainement été divulgué. Yahoo n’a également pas été clair sur la question de savoir s’ils avaient salé leurs mots de passe en 2013 (ils ne l’ont probablement pas fait), ce qui les rend assez vulnérables aux piratages.
Marriott a même perdu 5,25 millions de numéros de passeport en clair, ce qui n’est pas bon. Ils savaient clairement qu’ils devaient les crypter (20 millions d’autres l’étaient, après tout) mais n’ont pas réussi à protéger 20 % de leurs clients. Ils ont également crypté les numéros de carte de crédit : mais ne sont pas sûrs si les pirates ont obtenu la clé ou non.
La morale de l’histoire : la plupart de vos données ne sont pas cryptées, même celles que vous penseriez vraiment devoir l’être.
Mais mes données étaient cryptées
D’accord, donc vous utilisiez un site Web avec une sécurité fantastique qui a crypté chacune de vos informations. Ces sites existent – de nombreux sites de stockage de fichiers (Dropbox, Google Drive) vont crypter vos fichiers dans leur base de données, par exemple. Si c’est le cas, alors tant que leur gestion des clés était solide et que leurs experts en sécurité ont bien travaillé avec les développeurs, il est probable que vos données resteront intactes jusqu’à la chaleur morte de l’univers.
Le scénario le plus probable, cependant, est qu’une grande partie de vos informations n’était pas cryptée, et même les informations sensibles pourraient avoir été mal hachées ou cryptées avec la clé quelque part dans la base de données ou dans le système de fichiers. Il n’y a pas grand-chose à faire à ce sujet puisque vous devez donner aux entreprises vos données pour utiliser leurs services, mais vous pouvez essayer de minimiser cela – et ne pas réutiliser vos mots de passe !
Et n’oubliez pas de vérifier HaveIBeenPwned pour voir si vos données sont apparues dans des violations.
