Service Communautaire d'Information sur la Recherche et le Développement - CORDIS

Préparer le chemin pour renforcer la confiance, au service d'applications cloud plus puissantes

Andreas Herrolz, coordinateur du projet TRESSCA, explique comment les travaux du consortium contribueront à instaurer la confiance entre les utilisateurs de services cloud et les fournisseurs.
Préparer le chemin pour renforcer la confiance, au service d'applications cloud plus puissantes
Pour que le cloud computing (informatique en nuage) atteigne tout son potentiel, l'étape suivante de son évolution est de passer depuis le stockage des données vers leur traitement à distance. Ceci requiert une confiance élevée entre toutes les parties prenantes, et cette confiance est le but du projet TRESCCA.

Le Cloud facilite certainement notre vie, mais il n'en est pas encore au point où on l'utilise sans aucune arrière-pensée concernant sa sécurité. De récentes affaires touchant certains des services de stockage les plus populaires (vous vous souvenez du «Celebgate»?) ont renforcé l'idée que les données sensibles doivent éviter le Cloud. Certes, le chiffrement est une méthode efficace pour résoudre le problème du stockage cloud, mais il interdit le traitement à distance des données ainsi stockées.

C'est un problème majeur: pour 2016, on estime qu'un quart de toutes les applications devraient être disponibles dans le Cloud. L'utilisation du chiffrement ralentit cette évolution, et en outre les fournisseurs de services peuvent voir d'un mauvais œil leurs clients utiliser leurs serveurs pour traiter ces données. Tout ceci freine l'innovation dans ce secteur.

Pour résoudre ce problème, les chercheurs du projet TRESCCA («TRustworthy Embedded systems for Secure Cloud Computing Applications») veulent proposer et démontrer des techniques matérielles innovantes de sécurité et de virtualisation pour le Cloud. Elles permettraient de déléguer le traitement de données sensibles à un système distant sans tout révolutionner, car au lieu de remplacer les solutions en place, elles les complèteront par des modules non intrusifs.

Andreas Herrolz, coordinateur du projet TRESSCA, explique comment les travaux du consortium contribueront à instaurer la confiance tant attendue entre les utilisateurs de services cloud et les fournisseurs, ouvrant la voie à un tout nouveau monde de services et d'applications.

Les citoyens de l'UE utilisent de plus en plus le cloud computing. Peuvent-ils le faire en toute confiance?

Ces dernières années, les services cloud sont devenus plus sûrs et plus fiables. Ils apportent aujourd'hui un confort et une commodité remarquables, et sont particulièrement utiles dans le contexte d'applications mobiles et fonctionnant sur plusieurs appareils. Les fournisseurs de services cloud ont tiré les leçons des erreurs, et améliorent globalement la protection des données et la sécurité de leurs services. Cependant, le stockage dans le Cloud de n'importe quel type de données sensibles ou privées s'accompagne toujours de risques notables. Des cas comme les révélations Snowden et les récentes attaques sur des services et des entreprises cloud populaires ont montré que même si les fournisseurs de services affirment disposer d'une sécurité élevée, les utilisateurs ne peuvent pas leur faire totalement confiance.

Diriez-vous que le marché du Cloud est freiné par ce manque de confiance des utilisateurs envers les fournisseurs?

Certainement. Le Cloud dispose d'un très grand potentiel pour changer la façon dont nous utilisons les ordinateurs et les systèmes mobiles. C'est aussi la base de concepts futurs comme les Smart Cities et l'Internet des objets. Cependant, tant que nous ne pouvons pas garantir et confirmer un niveau élevé de sécurité et de protection des données stockées et traitées sur des serveurs distants, ce genre d'applications ne peut être mis en œuvre sans faire de compromis.

Quelles sont les techniques utilisées par TRESCCA pour renforcer la sécurité et la confiance envers le Cloud?

TRESCCA développe des composants matériels et logiciels afin de contribuer à créer un environnement d'exécution sûr pour tous les types d'applications informatiques. Au niveau matériel, il s'agit de composants de sécurité intégrés dans des systèmes sur puce. Ces puces sont déjà couramment utilisées dans les ordinateurs, smartphones, tablettes et boîtiers décodeurs. Les composants matériels de sécurité de TRESCCA (Hardware Security Modules, HSM) protègent les communications de la puce, en interne et vers l'extérieur. Par exemple, ils détecteront et empêcheront toute tentative pour modifier ou lire les données dans la RAM d'un ordinateur. Par-dessus cette couche matérielle, TRESCCA crée un environnement sécurisé d'exécution du logiciel, isolant les applications dans des machines virtuelles petites et légères. Ces machines virtuelles peuvent aussi servir à déplacer en sûreté des applications sûres entre des appareils. L'association des techniques matérielles et logicielles apporte un niveau de sécurité qui peut être vérifié à distance par les fournisseurs de services et par les utilisateurs.
À des fins de démonstration, TRESCCA intègre ses solutions dans des dispositifs clients connectés au Cloud, par exemple des compteurs intelligents et des boîtiers décodeurs. Le fait de fournir un environnement d'exécution sûr et vérifiable permet de ne pas déplacer dans le Cloud certaines parties de l'application et les données correspondantes, et de les exécuter en local. Ultérieurement, les mêmes solutions pourront être intégrées à des serveurs cloud, permettant aux utilisateurs d'évaluer et de vérifier à distance la sécurité des serveurs, avant de déplacer leurs données dans le Cloud.

Vous dites que votre système autorisera de nouveaux services et applications cloud. Pouvez-vous nous en dire plus?

Actuellement, pour sécuriser les données sensibles avant de les stocker dans le Cloud, il faut les chiffrer côté client. Cependant, ceci interdit leur traitement dans le Cloud. De même, si l'appareil de l'utilisateur n'est pas sûr, comme un PC ou un smartphone, les fournisseurs de services ne peuvent pas faire confiance aux traitements effectués en local par ces appareils. Nous arrivons donc à un blocage total pour toute application cloud qui impose au fournisseur de service d'accéder et de traiter des données privées, qui sont trop sensibles pour être stockées dans le Cloud. Avec TRESCCA, ces applications deviennent possibles, l'appareil sécurisé de l'utilisateur assurant le traitement en local des données sensibles. Ensuite, seuls les résultats ont besoin d'être transmis au fournisseur de service. Ceci pourrait révolutionner la conception des services cloud, réduire le monopole des données qu'ont les fournisseurs, et conduire à des architectures décentralisées.

Les solutions de TRESSCA seront proposées gratuitement. Pourquoi avez-vous fait ce choix?

Actuellement, la plupart des solutions commerciales de sécurité sont propriétaires, et disponibles uniquement avec une licence commerciale, voire pas du tout. Nous estimons que ceci empêche leur adoption, et que les solutions de sécurité ne seront acceptées et installées à grande échelle que si elles peuvent être utilisées, évaluées et intégrées dans des produits par tous et sans aucune restriction. En outre, nous aimerions coopérer avec d'autres entreprises et chercheurs pour améliorer plus avant nos solutions, et nous pensons que le modèle d'accès gratuit soutiendra cet objectif. Les partenaires de TRESCCA disposent quand même de plusieurs options pour exploiter commercialement ses résultats, par exemple en réalisant des produits basés sur ces solutions ou en proposant des services de développement à d'autres entreprises.

Quand pensez-vous commercialiser vos solutions?

Côté matériel, ceci pourrait nécessiter quelques années car le développement de nouveaux systèmes sur puce est long et coûteux, surtout s'il faut intégrer pour la première fois de nouveaux composants. En revanche, les solutions logicielles de TRESCCA sont indépendantes de ces composants et peuvent être utilisés par le matériel actuel. Elles pourraient donc être commercialisées bien plus vite, dans un ou deux ans.

Le projet approche de son terme. Quelles sont les réactions jusqu'ici?

Le secteur montre actuellement un grand intérêt pour des solutions matérielles de sécurité, gratuites et ouvertes. C'est par exemple les cas de fondeurs de semi-conducteurs, des fabricants d'appareils et des fournisseurs de solutions cloud. Avec l'extension des applications cloud vers les systèmes mobiles et industriels, le fait d'avoir en place des solutions fiables de sécurité devient plus important pour le succès commercial, voire indispensable. Les solutions proposées par TRESCCA, et encore plus leur accès ouvert, sont donc très intéressantes. Cependant j'estime que nous pouvons encore améliorer notre explication de ce que propose TRESCCA, et comment l'utiliser pour créer des solutions sécurisées matérielles et logicielles. Au bout du compte, TRESCCA n'est qu'une partie de la solution, et comme pour tout concept de sécurité il doit être associé avec d'autres solutions et utilisé de la manière appropriée pour être pleinement efficace.

Pour plus d'informations, veuillez consulter:

TRESCCA
http://www.trescca.eu/

Source: D'après un entretien du numéro 44 du magazine research*eu consacré aux résultats, publié en page 4.

Informations connexes