Le « confidential computing » garant de la sécurité dans le cloud
Les grands hébergeurs d’infrastructures cloud (en nuage) proposent tous des solutions de « confidential computing ». Cette technique récente permet de s’assurer que code et données resteront à chaque instant sous le contrôle de leur propriétaire.
Aujourd’hui, la protection des données au sein des systèmes informatiques passe essentiellement par le chiffrement (ou cryptage, codage par une clé secrète) : les transmissions de données sont sécurisées (cf. l’icône en forme de cadenas à côté de l’adresse d’une page web), tout comme leur stockage (via un chiffrement matériel ou logiciel). Mais il faut bien que ces informations soient déchiffrées dans la mémoire du serveur pour pouvoir être traitées par le processeur.
C’est ici que le « confidential computing » entre en jeu. Une enclave numérique est créée au sein de l’ordinateur. Des données chiffrées sont poussées dans cette enclave, ainsi que le code nécessaire à leur traitement. Le propriétaire des données communique ensuite à l’enclave la clé permettant de déchiffrer et traiter les données.
Cette technique permet de garantir que seul le code inclus dans l’enclave pourra lire les données de l’enclave en clair. Personne d’autre disposant d’un accès au système, qu’il soit physique ou distant, ne pourra les lire. Seul celui qui a chargé le code et les données dans l’enclave en connaît le contenu. Et lui seul pourra récupérer le résultat des traitements opérés au sein de celle-ci.
Remettre de la confiance dans le cloud
Le fait que le chiffrement et le déchiffrement du code et des données soient réalisés au sein du processeur lui-même rend quasi impossible la lecture en clair de ces informations par un pirate ou un espion. Aucune sécurité n’étant parfaite, des attaques ont pu, par le passé, mettre à mal cette protection, mais elle reste à ce jour extrêmement efficace.
Le confidential computing permet donc de créer de la confiance dans le cloud. Auparavant, les entreprises devaient se demander ce qu’elles pouvaient stocker dans le cloud : seules les données non critiques migraient vers le cloud, les autres restant hébergées sur site. Avec le confidential computing, les données des enclaves resteront hors de portée des personnes non autorisées. Peu importe donc que les infrastructures du fournisseur cloud soient piratées ou espionnées. Le niveau de sécurité des données stockées dans le cloud devient ainsi équivalent à celui des données stockées sur site.
La protection des données personnelles s’est trouvée considérablement améliorée avec l’arrivée du RGPD (Règlement général sur la protection des données). La législation dans ce domaine devrait encore se renforcer à l’avenir. Les entreprises doivent vérifier que leurs prestataires sont en conformité avec la réglementation. Le confidential computing dispense de cette vérification, car le prestataire ne peut pas accéder aux données stockées et traitées au sein des enclaves numériques, quand bien même il dispose d’un accès physique au serveur les hébergeant.
Booster les services cloud
En résumé, le confidential computing remet de la confiance dans les services cloud. Aujourd’hui, lorsqu’un utilisateur adopte un service en ligne, il sait que ses données risquent d’être massivement exploitées par le fournisseur de ce service et ses partenaires.
Les enclaves numériques sont une solution permettant de s’assurer que cette exploitation de données restera sous le contrôle des utilisateurs, lesquels pourront décider quelles informations seront communiquées aux fournisseurs avec lesquels ils sont contractuellement liés. Si cela peut impacter le modèle économique de certaines start-up devenues licornes, cela devrait aussi redonner de la confiance aux internautes et les encourager à partager plus largement leurs données personnelles.
David FEUGEY