Des milliards de personnes se connectent à internet au moyen de dispositifs non sécurisés, le besoin en matière de preuves cryptographiques n’a donc jamais été aussi pressant.

Économie numérique

Les protocoles cryptographiques constituent l’épine dorsale de notre activité en ligne, garantissant la confidentialité et la sécurité de nos communications, de nos transactions financières et de nos engagements civiques tels que le vote. Pourtant, le nombre élevé de personnes se connectant à ces réseaux par l’intermédiaire de dispositifs insuffisamment sécurisés ou compromis rend difficile le maintien de cette infrastructure de sécurité. Le projet SPOOC, financé par le Conseil européen de la recherche, a pour objectif d’élaborer des cadres théoriques et des outils pratiques permettant de valider la sécurité et la confidentialité des échanges en ligne, même lorsqu’ils sont effectués sur des plateformes non fiables. «Notre objectif est de sécuriser les communications, via internet, les téléphones portables – tout type de communication numérique», explique Steve Kremer, coordinateur du projet et chercheur à l’Institut national de recherche en sciences et technologies du numérique. «Nous voulons garantir la confidentialité et nous assurer que lorsque vous vous connectez à internet, vous vous connectez au bon site et parlez vraiment à la personne avec laquelle vous souhaitez parler.»

Les élections suisses

Selon Steve Kremer, l’idée d’une «équivalence de programmes» est une étape clé pour prouver la confidentialité et la sécurité des communications en ligne. Il s’agit d’une propriété par laquelle deux programmes semblent fonctionner de la même manière pour un observateur extérieur. Steve Kremer exploite cette notion d’équivalence de programmes pour que les communications en ligne soient indissociables de manière similaire, afin de modéliser la vie privée et l’anonymat. «Si nous interceptons deux communications, nous ne devrions pas être en mesure de savoir si elles proviennent du même téléphone ou de deux téléphones différents», ajoute-t-il. La conception d’un logiciel capable d’analyser deux programmes pour voir s’ils sont équivalents était un élément central du projet SPOOC. Ce travail a depuis été appliqué en Suisse dans le cadre d’élections en ligne, pour lesquelles les opérateurs sont tenus de fournir des preuves de la sécurité de leur système. Un autre élément du projet SPOOC consistait à développer des outils capables de garantir la sécurité, la confidentialité et la transparence des protocoles qui gèrent le vote en ligne. «De nombreux aspects ne sont pas encore totalement résolus», remarque Steve Kremer. «Mais les protocoles modernes peuvent désormais garantir la confidentialité et la transparence même si le serveur qui collecte les votes est frauduleux ou compromis.» Malheureusement, souligne-t-il, les élections aux enjeux élevés constituent une cible suffisamment intéressante pour développer des logiciels malveillants dédiés, ce qui rend leur sécurité beaucoup plus difficile à garantir. «Dès que vous dématérialisez quelque chose, il est très facile de préparer des attaques», explique Steve Kremer. «Et les ordinateurs sont particulièrement doués pour reproduire la même chose très rapidement et très souvent.»

Authentification multi-facteurs

Le dernier aspect du projet a porté sur les dispositifs partiellement non sécurisés. En général, les organisations utilisent l’authentification à deux facteurs pour s’assurer que les transactions en ligne sont légitimes, introduisant ainsi un humain dans le processus. Le projet SPOOC a effectué une analyse complète de ce système, en tenant compte de milliers de scénarios antagonistes pour quantifier avec exactitude les limites de l’authentification à deux facteurs. «Je suis satisfait de ce que nous avons réalisé», déclare Steve Kremer, en ajoutant qu’il reste encore beaucoup de travail à accomplir pour améliorer l’efficacité de cet outil. Depuis, Steve Kremer et son équipe ont obtenu un financement de l’Agence nationale française de la recherche pour poursuivre le développement de leurs outils de validation. «Nous entendons accroître la rapidité de ces outils et les rendre plus applicables aux protocoles du monde réel», conclut-il. «Nous essayons maintenant de mettre en pratique toute cette théorie que nous avons développée et d’obtenir plus de résultats de ce travail.»

Mots‑clés

SPOOC, cryptographique, automatisé, sécurité, preuves, protocoles, mobile, téléphones, communications