Le chiffrement de bout en bout, vraie arme de cybersécurité

La multiplication des références au chiffrement de bout en bout dans les textes officiels rejoint la réalité de son adoption croissante par les prestataires de services en ligne.

Ce début d’année 2021 est marqué par une série de cyberattaques massives, en particulier dans le domaine sensible de la santé. Le vol et la diffusion en ligne d’informations confidentielles de 500 000 patients français (identité, informations sur leur état de santé, mot de passe…) dérobées à des laboratoires sont d’une particulière gravité. Cette affaire a créé un choc dans l’opinion publique et a révélé l’ampleur du commerce illégal des données de santé sur Internet qui impliquerait au moins une vingtaine d’acteurs dans le monde entier.

En parallèle, les attaques par rançongiciel se multiplient contre les hôpitaux français, les paralysant en pleine crise sanitaire. En février et mars, l’Assistance Publique des Hôpitaux de Paris, les hôpitaux de Villefranche-sur-Saône, de Dax, de Tarare et de Trévoux ont subi de telles attaques. Des interventions chirurgicales ont dû être déprogrammées, des patients se présentant aux urgences, redirigés vers d’autres centres de soins. A Villefranche, par exemple, tous les postes de travail ont été déconnectés, l’ensemble de la téléphonie rendu inaccessible.

En réaction, le gouvernement français vient d’annoncer le lancement d’ un plan « cybersécurité » pour soutenir et stimuler la filière, à hauteur d’un milliard d’euros. La prise de conscience semble à la hauteur de l’électrochoc. Elle doit être l’occasion d’une montée en compétences générale sur les mesures de sécurité des données dans l’univers numérique.

Largement plébiscité pour son efficacité par les autorités de protection des données personnelles, le chiffrement recouvre des réalités très diverses. Mais il souffre de l’absence de référentiel clair et accessible à même de guider les entreprises, organismes publics et administrations dans le choix des mesures techniques capables d’assurer la sécurité des données des utilisateurs.

Une définition simpliste du chiffrement consisterait à dire qu’il s’agit d’un procédé rendant la compréhension d’un contenu impossible à toute personne ne détenant pas la clé de déchiffrement. En réalité, cette définition cache une variété de solutions techniques sous-jacentes à l’efficacité très inégale. Il est très compliqué pour un non-expert du chiffrement de comprendre quelle solution adopter afin de lutter contre les cyberattaques : combien de clés de chiffrement ? Chiffrement symétrique ou asymétrique ? Par quel procédé et par qui les clés sont-elles générées et stockées ? Le chiffrement porte-t-il sur le stockage du contenu, sur son transfert, les deux, et à quel moment s’opèrent le chiffrement et le déchiffrement ?

Solution efficace

 Le chiffrement de bout en bout (en anglais, end-to-end encryption ou E2EE) émerge comme une solution particulièrement efficace qui consiste à chiffrer les données sur un dispositif émetteur pour que seul le dispositif destinataire puisse le déchiffrer. Les données effectuent tout le voyage entre l’expéditeur et le destinataire sous forme chiffrée, de sorte qu’aucun tiers, y compris les prestataires de services de communication ou de stockage, n’aient accès aux données non chiffrées. En pratique, en cas de cyberattaque, le pirate n’aura accès qu’à des données chiffrées, donc illisibles.

 Cette technologie se répand au sein des services de communication et de messagerie en ligne tels que Zoom, WhatsApp, Telegram ou Signal. Dans le domaine de la santé connectée, Doctolib a annoncé en juin 2020 « repousser l’état de l’art de la protection des données personnelles de santé » en mettant en œuvre le chiffrement de bout en bout, imitée par la mutuelle Alan, quelques mois plus tard.

 Le chiffrement est recommandé à l’article 32 du Règlement général sur la protection des données (RGPD) comme mesure technique à mettre en œuvre par les responsables de traitement et sous-traitants afin de garantir un niveau de sécurité adapté aux risques anticipés sur les données personnelles. Le type de chiffrement n’y est pas précisé, mais un renvoi est opéré à l’ « état des connaissances ». Selon le Comité européen de la protection des données (European Data Protection Board, EDPB – Guidelines 4/2019), ce concept dynamique d’état des connaissances suppose que les prestataires réévaluent de manière continue les mesures techniques et organisationnelles mises en œuvre au regard de l’évolution des technologies et de leur disponibilité sur le marché.

Absence de référentiel

 En France, la Cnil considère que le chiffrement est devenu un standard, en particulier en matière de données sensibles, sans fournir de référentiel précis sur ce que serait l’état des connaissances en la matière. Tant le Guide pratique sur la protection des données personnelles à l’attention des médecins, publié en juin 2018 par le Conseil national de l’ordre des médecins et la Cnil, que le référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux, adopté par la Cnil le 18 juin 2020 (Délibération 2020-081), préconisent le chiffrement des données stockées et des équipements permettant l’accès aux données de santé.

Ces deux textes insistent sur la nécessité de chiffrer les données avant tout envoi électronique. La Cnil a d’ailleurs sanctionné en décembre 2020 deux médecins libéraux pour manquement à l’obligation d’assurer la sécurité des données traitées, soulignant que le chiffrement des données à caractère personnel fait partie des exigences élémentaires en matière de sécurité informatique (SAN-2020-014 et SAN-2020-015).

 Mais on peut regretter que la Cnil se cantonne aux principes généraux du chiffrement et n’ait pas encore été jusqu’à émettre un référentiel spécifique en la matière. La Cnil renvoie sur le sujet vers l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui ne semble pas avoir non plus de référentiel à jour dédié au chiffrement.

 Au niveau européen, l’EDPB va plus loin : le recours à des procédés de chiffrement de bout en bout est explicitement recommandé par les textes les plus récents. C’est d’abord le cas des recommandations du 10 novembre 2020, qui préconisent la mise en œuvre de techniques de chiffrement renforcé en amont de la transmission des données exportées vers des pays n’ayant pas le niveau de protection exigé par l’Union européenne. L’EDPB recommande le chiffrement du transport, combiné, le cas échéant, à un chiffrement de bout en bout du contenu.

 Ces recommandations font suite à l’invalidation du « Privacy Shield » (accord régissant le transfert de données personnelles entre l’Union européenne et les Etats-Unis) par la CJUE dans son arrêt « Schrems II ». Dans le même sens, la proposition de résolution du Parlement européen du 13 janvier 2021 (2020/2 789) considère qu’il est crucial que les entreprises de l’Union puissent s’appuyer sur des mécanismes de sécurité solides. Le Parlement appelle à l’élaboration d’une boîte à outils de mesures supplémentaires, comme une certification de sécurité ou des garanties en matière de chiffrement, acceptées par les autorités de réglementation.

Multiplication des références

 C’est aussi vers le chiffrement de bout en bout que se dirige la Commission européenne dans sa proposition de Directive NIS2 relative à la cybersécurité publiée le 16 décembre 2020. Elle propose d’encourager « l’utilisation du chiffrement, notamment du chiffrement de bout en bout, voire, si nécessaire, de l’imposer, pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception » (considérant 54).

 La multiplication des références au chiffrement de bout en bout dans les textes officiels et les recommandations des autorités de données personnelles rejoint la réalité pratique d’une adoption croissante de cette technologie par les prestataires de services en ligne, en particulier en matière de données sensibles. Ce double constat plaide en faveur d’un nouvel état des connaissances basé sur cette technique.

 Le chiffrement de bout en bout soulève des questions sur lesquelles l’écosystème doit continuer à travailler, en particulier la nécessité pour les autorités répressives de se ménager un accès aux données cryptées. Ces questions ne doivent pas empêcher les autorités de protection des données à caractère personnel de publier un référentiel clair et précis sur le sujet, afin d’améliorer la lisibilité de l’état des connaissances et de permettre aux entreprises et administrations de mettre en œuvre un niveau de sécurité adéquat. Et in fine, d’accroître la sécurité des données des utilisateurs.

 Tribune publiée le 9 mars 2021 dans l’Opinion