Introduction aux termes relatifs à la sécurité : la signification réelle de l’architecture « zero-knowledge », du chiffrement, et plus encore
Dans le monde de la cybersécurité et de l’identité numérique, nous utilisons beaucoup de termes techniques. Nous espérons que cet article vous permettra d’y voir plus clair et d’éviter les confusions courantes. Dans cet article, je définis les termes importants de l’industrie, afin que vous puissiez plus facilement comprendre de quoi il s’agit et comment ils sont liés à l’expérience Dashlane.
« Zero-knowledge »
Ce que signifie « zero-knowledge » : Dashlane s’appuie sur le principe « zero-knowledge » pour s’assurer que vous seul avez accès à votre coffre-fort Dashlane. Prenez l’exemple d’un braquage de banque dans les classiques du cinéma : les voleurs veulent accéder à un coffre-fort. Ils doivent d’abord s’introduire dans la banque et déjouer les mesures de sécurité, comme la porte qui donne accès à tous les coffres individuels. Ensuite, disons qu’ils ont besoin de 2 clés : une clé qu’ils doivent voler au directeur de la banque, et une clé qu’ils doivent voler au propriétaire du coffre-fort.
Ces 2 clés garantissent que :
- Le directeur de la banque ne peut pas accéder seul au contenu du coffre-fort, même s’il stocke pour vous des contenus précieux.
- En tant que propriétaire du coffre-fort, vous contrôlez une pièce essentielle de sa protection, un élément sans lequel le coffre-fort ne peut jamais être ouvert.
Comment nous utilisons l’architecture « zero-knowledge » chez Dashlane : Dashlane ne veut jamais accéder aux identifiants et à d’autres données sensibles dans votre coffre-fort. Ainsi, nous utilisons une architecture « zero-knowledge » pour nous assurer que vous seul possédez la clé, qui, dans ce cas, est le mot de passe Maître.
Techniquement, Dashlane ne possède pas d’autre clé, mais nous avons bâti un mécanisme de chiffrement qui garantit que votre coffre-fort est sécurisé avec votre clé et que les données du coffre-fort ne sont accessibles que par vous, le propriétaire. C’est pourquoi toutes les opérations sensibles de Dashlane, le chiffrement et le déchiffrement de votre coffre-fort en l’occurrence, sont effectuées localement sur votre appareil. Cela garantit que nous ne les voyons pas sur nos serveurs.
Chiffrement
Ce que signifie le chiffrement : de quoi s’agit-il réellement ? Pour rester dans les références cinématographiques, le chiffrement est similaire à ces codes secrets utilisés dans les films d’aventure. C’est une façon de brouiller des données pour qu’elles ne puissent être déchiffrées et lues que si vous connaissez le code. Le chiffrement s’appuie sur des formules mathématiques complexes et utilise généralement une clé, appelée clé cryptographique, pour faire en sorte que le chiffrement soit unique et propre à une donnée spécifique.
Il existe deux principaux types de chiffrement.
Le chiffrement symétrique
Ce que signifie le chiffrement symétrique : il existe une seule clé qui vous permet de chiffrer et de déchiffrer des données.
Comment nous utilisons le chiffrement symétrique chez Dashlane : le chiffrement symétrique est la méthode que Dashlane utilise pour chiffrer votre coffre-fort. L’algorithme AES est un algorithme de chiffrement symétrique commun.
Chiffrement asymétrique
Ce que signifie le chiffrement asymétrique : également appelé chiffrement à clé privée-publique, le chiffrement asymétrique implique l’utilisation de 2 clés différentes. L’une est utilisée pour chiffrer, et l’autre pour déchiffrer. Vous avez une clé publique utilisée pour chiffrer, et elle peut être partagée avec n’importe qui, car elle n’est utilisée que pour chiffrer. D’un autre côté, la clé privée, qui est ensuite utilisée pour déchiffrer les données, devrait être sécurisée.
Comment nous utilisons le chiffrement asymétrique chez Dashlane : le chiffrement asymétrique est la méthode utilisée par Dashlane pour partager des identifiants entre utilisateurs, grâce à un algorithme appelé RSA.
Fonction de dérivation de clé
Ce que signifie la fonction de dérivation de clé : les codes secrets choisis par les humains ne sont généralement pas assez forts pour être utilisés comme clés de chiffrement. Ils ne sont pas assez longs et assez aléatoires pour garantir un bon niveau de sécurité. C’est pourquoi nous avons besoin d’une fonction de dérivation de clé. Il s’agit d’un algorithme qui prendra votre mot de passe Maître et ajoutera un peu de mathématiques magiques pour générer une clé cryptographique longue et aléatoire.
Pensez-y comme ceci : la clé cryptographique est ce qui vous permet d’ouvrir la porte, tandis que votre mot de passe Maître est le mot secret que vous dites au serrurier (la fonction de dérivation de clé) afin qu’il puisse créer la clé pour vous. Si vous donnez la même entrée (le même mot de passe), vous générerez toujours la même clé cryptographique.
De plus, les fonctions de dérivation de clé sont volontairement lentes à calculer, ce qui aide à prévenir les attaques par force brute.
Comment nous utilisons les fonctions de dérivation de clé chez Dashlane : Dashlane utilise Argon2 comme fonction de dérivation de clé pour générer la clé de chiffrement pour votre coffre-fort à partir de votre mot de passe Maître.
Donnez du sens au jargon lié à l’informatique, à la cybersécurité, aux cybermenaces, à la gestion de l’identité et de l’accès, et à la gestion des mots de passe grâce à notre livre électronique populaire.
Cryptographie post-quantique
Ce que signifie la cryptographie post-quantique : le monde de la cryptographie fait face à une crise existentielle avec la naissance de l’informatique quantique. Je n’entrerai pas dans les détails de la physique et de la science derrière l’informatique quantique, mais c’est une révolution dans la façon dont les ordinateurs sont créés et fabriqués. Une fois que la cryptographie post-quantique arrivera à maturité, la nouvelle génération d’ordinateurs rendra la cryptographie asymétrique actuelle obsolète et déjouable.
Comment nous utilisons la cryptographie post-quantique chez Dashlane : il est temps pour les entreprises de logiciels comme Dashlane de se préparer à une évolution de l’écosystème de la cryptographie pour s’assurer que nous gardons vos données sécurisées pour l’avenir. Si vous êtes curieux d’obtenir plus de détails, consultez nos travaux en cours et ce que nous faisons pour nous préparer..
Informatique confidentielle
Ce que signifie l’informatique confidentielle : c’est une autre innovation dans le monde de l’informatique. L’informatique confidentielle traite les données dans une zone protégée d’un ordinateur. Aujourd’hui, cela se produit généralement sur le matériel de l’appareil, dans ce qui est appelé une enclave sécurisée matérielle. Vous l’utilisez tous les jours sur votre téléphone sans le savoir, car Android et iOS gèrent des données sensibles telles que la biométrie à l’intérieur de l’enclave sécurisée de l’appareil.
L’innovation récente ce sont les enclaves sécurisées dans le cloud : elles offrent une capacité similaire à celle des enclaves sécurisées matérielles, mais existent dans le cloud et elles le rendent accessible aux produits logiciels qui ne peuvent pas accéder directement aux enclaves matérielles.
Comment nous utilisons l’informatique confidentielle chez Dashlane : l’informatique confidentielle ouvre des perspectives très intéressantes pour des produits tels que Dashlane. Cela nous permet de penser au « zero-knowledge » d’une manière différente. Au lieu de gérer toutes les données sensibles sur l’appareil de l’utilisateur, nous pouvons envisager de faire en sorte que le traitement se produise dans une enclave sécurisée dans le cloud. C’est l’innovation sur laquelle repose Dashlane Confidential SSO : nous exploitons les enclaves sécurisées dans le cloud offertes par notre fournisseur de cloud AWS (leur fonctionnalité est appelée Nitro) pour traiter les clés cryptographiques requises pour connecter la SSO d’une entreprise à Dashlane.
« Zero-trust »
Ce que signifie l’approche « zero-trust » : l’industrie de la sécurité a inventé le terme marketing « zero trust » pour se référer à un modèle de sécurité basé sur la philosophie selon laquelle personne à l’intérieur ou à l’extérieur du réseau d’une organisation ne devrait être digne de confiance et se voir accorder un accès à moins qu’il n’ait été explicitement approuvé En bref, cela signifie zéro approbation implicite.
Au lieu de faire confiance aux murs du château et aux gardes à la porte pour garantir que vous êtes en sécurité, vous assumez que vous pourriez déjà avoir des espions à l’intérieur de la ville, vous devez donc être paranoïaque et contrôler chaque habitant sans les croire implicitement.
Comment nous utilisons l’approche « zero-trust » chez Dashlane : l’approche « zero-trust » ne s’applique pas vraiment à Dashlane. C’est vraiment plus une notion de réseau associée à l’évolution des pare-feu et de la sécurité VPN. Mais comme elle est souvent confondue avec « zero-knowledge » , il était important de la définir ici. La philosophie partagée est que nous ne faisons confiance à personne, pas même à nous-mêmes en tant qu’employés de Dashlane. Ainsi, nous bâtissons Dashlane sur la base du « zero-knowledge » afin de garantir la sécurité de nos clients et la protection de notre entreprise.
J’espère que la façon dont j’ai expliqué ces termes complexes vous a aidé à mieux comprendre leur signification Dashlane souhaite simplifier la sécurité pour tout le monde.
Pour en savoir plus sur les nuances de sécurité techniques de Dashlane consultez notre livre blanc La sécurité chez Dashlane Principes et architecture.
Inscrivez-vous pour connaître toute l'actualité de Dashlane