RSA Conference, San Francisco. « Le temps est venu pour les professionnels de la sécurité de trouver d’autres méthodes que la cryptographie pour protéger leurs données sensibles« .  S’il est une surprise que l’on retiendra de cette édition de la RSA Conference, c’est bien cette déclaration d’Adi Shamir, le « S » de RSA et un cryptographe mondialement reconnu. Que le co-auteur de l’algorithme de chiffrement le plus répandu au monde encourage les professionnels à chercher d’autres approches de sécurité que le chiffrement montre à quel point notre industrie est réellement à un tournant de son histoire.

« Je pense que la cryptographie devient de moins en moins importante, car aujourd’hui même les systèmes le plus reculés et les mieux protégés ont étés compromis« , explique Shamir.

Le chercheur observe que les deux lignes de défense traditionnelles contre les APT (les identifier à leur arrivée sur le système ou détecter leur activité une fois installés) n’ont pas empêché certains de ces codes malveillants d’opérer librement pendant parfois plusieurs années sur les systèmes infectés. Or la crypto ne peut jouer son rôle que si l’on parvient à maintenir l’intégrité des systèmes chargés de la mettre en œuvre. « Il est difficile d’imaginer faire de la cryptographie lorsqu’un APT vous observe« , poursuit le scientifique.

D’après Adi Shamir et l’ensemble des participants à cette discussion de cryptographes, il est temps de se faire une raison et de trouver des approches de sécurité capables d’opérer dans un environnement compromis, ou en tout cas qui risque fortement de le devenir.

L’on rejoint ici la notion de tolérance aux intrusions dont nous parlions déjà en 2009. Ainsi qu’il s’agisse des chercheurs de l’université américaine de Georges Masson, qui ont inventé un système capable de ré-installer automatiquement les serveurs chaque minute en écrasant au passage tout code malveillant éventuel, ou bien du Secrétariat Général du Conseil de l’Union Européenne, qui professait sagement dès 2010 en être arrivé à la conclusion « qu’il nous faut accepter l’idée d’être attaqués en permanence, faire avec et limiter l’impact des attaques« , l’idée de tolérer plutôt que d’essayer de contrôler à tout prix est dans l’air depuis plusieurs années. Mais l’entendre professée par une figure-clé de la cryptographie, c’est autre chose !

Bien entendu cela ne signifie pas  pour autant qu’il faille cesser de chiffrer du jour au lendemain ! La cryptographie jouera toujours un rôle important, et notamment en matière d’authentification. En revanche il convient probablement de concevoir des systèmes capables d’opérer en toute confiance sans garanties de leur intégrité (bon courage…). Cela passera, peut-être, par une nouvelle répartition de la confiance à travers des systèmes plus distribués et plus proches de l’utilisateur (Adi Shamir propose à ce titre notamment de revoir l’architecture des autorité de certification et des PKI en général)

Quant à assurer la confidentialité sans passer par la crypto, Adi Shamir propose une approche pour le moins inattendue. Puisque le problème est essentiellement l’exfiltration de données confidentielles, il suggère de rendre ces dernières bien trop volumineuses pour que leur sortie puisse passer inaperçue. Et en effet, devoir exfiltrer un fichier de 200 gigaoctets est autrement plus compliqué qu’un autre de 200 ko…

Il s’agirait alors de « sécurité par l’obésité », pour reprendre le terme proposé par François Pesce, chercheur en sécurité chez Qualys. Seriez-vous prêts à vous y essayer ?