Sécurité des infrastructures du cloudLa Sécurité des infrastructures du Cloud est un sujet de préoccupation majeur dans tous les domaines liés aux technologies de l'information et de la communication à la suite de la montée en puissance du cloud computing. Depuis l'introduction de cette technologie, de nombreux problèmes de sécurité liés à l'utilisation des données hébergées dans les clouds ont entraîné des scandales médiatiques. Les attaques informatiques et les failles de sécurité présentes dans les systèmes traditionnels s'amplifient avec l'utilisation des différents types de cloud ; cela a entrainé l'émergence de nouveaux types de menace. Afin de répondre au mieux à ces problématiques, le monde de l'informatique a dû faire évoluer les concepts relatifs aux trois principes fondamentaux de la sécurité de l'information qui sont : la confidentialité, l'intégrité et la disponibilité. Aussi, les différentes techniques de sécurité au sein même des infrastructures telles que les réseaux, le stockage, les hyperviseurs ont dû être renforcées et adaptées aux nouvelles problématiques. Problèmes de sécurité dans les Infrastructures CloudContexteLes fonctionnalités offertes par les infrastructures cloud (IaaS, SaaS, PaaS)[1], qu'elles soient privées, communautaires, publiques ou hybrides[1] sont très populaires et massivement utilisées par les entreprises pour leurs données, services internes ou celles de leurs clients[2]. Le fait de mutualiser des ressources système ou de mettre en place des paiements via l'utilisation de ces ressources accentue davantage les problèmes de sécurité que dans les systèmes traditionnels[3], particulièrement en ce qui concerne les attaques de type ddos[4]. Les utilisateurs et les fournisseurs de services cloud sont de plus en plus préoccupés par les nouvelles menaces et les nouveaux risques auxquels ils doivent faire face lorsqu'ils intègrent le cloud[5]. Notamment dans le cas d'attaques distribuées où plusieurs routes peuvent exister afin de joindre un serveur ou une application. Les attaquants peuvent utiliser cet aspect pour ne pas être détectés et augmenter l'efficacité de leur attaque[6]. Une étude de cas, effectuée par la Cloud Security Alliance (en), montre la diversité des problèmes de sécurité existants et les impacts techniques et financiers conséquents présents sur un cloud[7]. De cette étude, nous pouvons énumérer :
En outre, nous pouvons également citer les problèmes de sécurité qui ont affecté les sociétés telles que :
Menaces les plus communes sur les Infrastructures CloudLes activités de piratage informatiques sont passées d'un hobby pratiqué par des amateurs à une véritable industrie qui rapporte des millions de dollars[19]. Comme n'importe quel système informatique, les infrastructures cloud sont exposées de la même manière aux menaces. Une menace est tout simplement un événement qui, s'il se réalise, peut causer des dommages à un système et créer une perte de confidentialité, de disponibilité ou d'intégrité[20]. Ces dernières peuvent être malveillantes ou accidentelles. Une vulnérabilité est une faiblesse d'un système qui peut être exploitée par une menace. La réduction des vulnérabilités d'un système peut réduire le risque et l'impact des menaces, les plus communes aux Infrastructures cloud et traditionnelle sont les suivantes[20],[21] :
En 2019, la Cloud Security Alliance, en interrogeant 241 experts de l'industrie, a établi un rapport des 11 menaces, risques et vulnérabilités importants dans les infrastructures cloud[23]. En analysant ce rapport, il est intéressant de noter que les préoccupations de sécurité traditionnelles dans les clouds, telles que le déni de service, les vulnérabilités des technologies partagées et la perte de données, n'apparaissent plus contrairement aux années précédentes. Cela laisse penser, que les questions de sécurité traditionnelles relevant de la responsabilité des fournisseurs de service cloud semblent moins préoccupantes[23]. Les nouvelles inquiétudes en matière de sécurité qui naissent désormais, sont spécifiques aux clouds telles que les faiblesses potentielles dans la conception du service cloud (avec comme conséquence une corruption des données), les API (application programming interface) non sécurisées et l'incapacité à visualiser et analyser si l'utilisation des services de cloud au sein de l'entreprise est sûre ou malveillante, ce qui peut engendrer une utilisation malveillante d'une infrastructure cloud[23],[24]. Préoccupations en matière de sécuritéLorsque des données sont envoyées dans le cloud, un tout nouvel ensemble de problèmes surgit, cela est dû en grande partie au fait que les données sont stockées sur un équipement qui n'appartient pas à l'entreprise possédant les données[25]. Il est recommandé que les contrôles de sécurité de l'information soient choisis et mis en œuvre en fonction des risques, mais aussi proportionnellement à ces derniers, en évaluant les menaces, les vulnérabilités et les impacts. Les préoccupations en matière de sécurité dans les clouds peuvent être regroupées de diverses façons. Gartner en a nommé sept[26], nous en énumérons certaines ci-dessous. Sécurité de l'informationLes trois principes fondamentaux de la sécurité de l'information sont la confidentialité, l'intégrité et la disponibilité (CIA triad). Ces principes définissent la posture de sécurité d'une organisation. Tous les contrôles et les mesures de sécurité de l'information, ainsi que toutes les menaces, les vulnérabilités et les processus de sécurité sont soumis à l'étalon de ces trois principes[27]. Vie privée et confidentialitéL'aspect de confidentialité des données des clients est l'un des piliers principaux de la sécurité des infrastructures cloud. L’opérateur, ici, les fournisseurs de service de cloud, doit assurer intégralement la confidentialité des données des clients. Les données ne devront en aucun cas être accessibles par les autres clients du même cloud[28]. Les failles de sécurité liées aux pertes de confidentialité ont pour conséquence une baisse de confiance, un sentiment de trahison accru envers les opérateurs du cloud car la confidentialité des données plus ou moins secrètes dans ce type d'infrastructure est remise en cause[29]. Pour éviter ces craintes et renforcer la sécurité des données, les fournisseurs de services cloud doivent impérativement adhérer à des politiques de sécurité et de confidentialité afin de mettre tout en œuvre pour protéger les données de leurs utilisateurs[30]. Il convient également noter que les risques liés à la vie privée et à la confidentialité d'un utilisateur varient considérablement selon les conditions de service et la politique de confidentialité établies par le fournisseur de service cloud. En effet, les données privées des utilisateurs peuvent se retrouver dans des emplacements physiques différents engendrant donc des conséquences juridiques différentes liées aux pays où seraient entreposées les données[31],[32]. En Europe, la directive 95/46/CE sur la protection des données personnelles[33] contenait une disposition extraterritoriale importante, selon laquelle le flux de données personnelles provenant de tout pays membre de l'Union Européenne pouvait être interrompu si le pays vers lequel il est transféré ne disposait pas d'un niveau de protection des données personnelles jugé suffisamment développé et sécurisant. La directive répertoriait également une liste des pays de l'EU dans lesquels les données privées et personnelles pouvaient ou non traverser ou résider[34]. Il faut aussi noter que les autorités européennes chargées de la protection des données avaient exigé que les responsables du traitement des données obtiennent un consentement préalable des utilisateurs avant le transfert des données à l'étranger[35]. En 2018, entre en vigueur le règlement général sur la protection des données[36] (RGPD) qui remplace la directive européenne 95/46/CE. Ce règlement a pour objectif de clarifier les concepts et procédures de protection des données dans le monde connecté, au sein de l'union européenne, en apportant un cadre légal à la protection des données à caractère personnel[37],[38]. Ce nouveau règlement a un impact important sur les infrastructures cloud en apportant les modifications suivantes[38] :
Cette nouvelle réglementation peut apporter un gain significatif en matière de sécurité des données puisqu'elle demande d'assurer un niveau de sécurité approprié[41]. Un non-respect du RGPD peut entrainer une procédure de sanction pouvant s’élever à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent[42]. IntégritéL'intégrité est la garantie que le message envoyé correspond au message reçu, et que ce dernier ne soit pas altéré, intentionnellement ou non, par le personnel ou des processus non autorisés[43],[44]. La perte d'intégrité peut survenir à la suite d'une attaque intentionnelle visant à modifier l'information (par exemple, la dégradation d'un site Web) ou, plus couramment, de façon non intentionnelle (les données sont accidentellement modifiées par un opérateur)[45]. Les données ne sont plus conservées en local sur les disques durs d'ordinateurs, mais sont sauvegardées plusieurs fois dans des stockages différents. Il appartient donc à l’opérateur, ici les fournisseurs de service de cloud, d'assurer l’intégrité de ces données, ce qui représente un aspect important de la sécurité[46],[47]. DisponibilitéLa disponibilité assure la fiabilité, le bon fonctionnement des systèmes et la rapidité d'accès aux données présentes dans les clouds ou des ressources mises en place dans les clouds. Une perte de disponibilité indique une perturbation de l'accès ou de l'utilisation de ces services. En outre, ce concept garantit que les services de sécurité du système du cloud sont en état de fonctionnement. Une attaque par déni de service est un exemple de menace contre la disponibilité[48],[49]. Contrôles de sécurité des cloudsL'objectif des contrôles de sécurité dans le cloud est de réduire les vulnérabilités à un niveau tolérable et de minimiser les effets d'une attaque. Pour y parvenir, une organisation doit déterminer l'impact qu'une attaque pourrait avoir et la probabilité de pertes. Des exemples de pertes sont la suppression d'informations sensibles, la destruction physique de ressources mais aussi une perte de confiance des clients. Les contrôles servent de contre-mesures aux vulnérabilités, il en existe de nombreux types qui sont généralement classés de la façon suivante[50] :
Monitoring et JournalisationIl est important de mettre en place une surveillance de toutes les données pertinentes pour la sécurité qui sont générées par un système, un réseau ou une application. Ce type de données sont enregistrées dans un fichier appelé log ou journal. La collecte des logs est généralement effectuée à l'aide d'une stratégie de collecte hiérarchique ou centralisée si possible après leur génération. La portée de ce qui peut être collecté est large et le niveau de détail peut être écrasant, cette dernière dépasse généralement la capacité de traitement des services de surveillance. Par conséquent, en ce qui concerne la sécurité, il convient de prendre en compte les événements suivants[51],[52] :
Une surveillance performante de la sécurité via un IDS est nécessaire si l'on souhaite que les interventions ou les réponses aux incidents soient efficaces. La surveillance, la détection et l'intervention doivent être étroitement liées pour permettre une intervention rapide. Enfin, en adoptant ou en mettant en œuvre une capacité de surveillance de la sécurité robuste et avancée, un fournisseur de cloud a la possibilité de proposer la surveillance de la sécurité comme un service : monitoring as a service (en)[53]. Il existe plusieurs outils qui permettent de faire du monitoring et journalisation centralisée des logs en environnement cloud, on peut citer :
Tests de vulnérabilité et d'intrusionDes tests d'intrusion et de vulnérabilité des infrastructures cloud doivent être effectués régulièrement. Ces derniers doivent porter sur l'ensemble de l'infrastructure, réseaux compris, et pas seulement sur des serveurs ou composants individuels. Ces tests peuvent découvrir une multitude de vulnérabilités, ces dernières doivent être classées (aussi simplement que critiques/élevées/moyennes/faibles). En règle générale, toute vulnérabilité classée comme critique ou élevée doit être corrigée pour garantir la sécurité de l'ensemble du cloud. Les vulnérabilités faibles ou moyennes peuvent être acceptées comme un risque raisonnable, cependant, elles doivent être étudiées en tenant compte du risque résiduel, puis acceptées par l'entreprise[56]. Afin de réaliser les tests de sécurité, différentes techniques peuvent être utilisées, notamment[57] : Concernant les tests de vulnérabilité et d'intrusion, nous pouvons citer les techniques suivantes[58] :
Les Tests de vulnérabilités et d'intrusions sont effectués en utilisant différents outils et applications qui permettent aux testeurs de simuler des attaques sur l’infrastructure ou les applications. La plupart des outils utilisés pour ce type de tests sont inclus dans le système d’exploitation Kali Linux. Ce dernier est open source et il regroupe 600 outils de test de pénétration[59]. Des livres entiers lui sont dédiés[60],[61], c’est le système d’exploitation le plus utilisé pour les tests de vulnérabilité[62]. Contrôle d'accèsLe contrôle d'accès est intrinsèquement lié à la gestion des identités et est nécessaire pour préserver la confidentialité, l'intégrité et la disponibilité des données du cloud[63]. La Cloud Security Alliance recommande aux fournisseurs de cloud de fournir un mécanisme d'authentification avancé[64], tel que les contrôles d'accès basés sur les attributs[65] (attribute-based access control (en)). Les contrôles d'accès sont généralement décrits comme discrétionnaires ou non discrétionnaires, et les plus courants sont les suivants[66],[67] : AuditEn évaluant si les contrôles et les procédures sont adéquats pour répondre à tous les aspects opérationnels de la sécurité, de conformité, de protection, de détection et d'analyse judiciaire; les audits de sécurité transmettent un sentiment de confiance quant à la rigueur du fournisseur de cloud à assurer la sécurité[68],[69]. Les auditeurs vérifient habituellement les fonctions suivantes[70] :
Les auditeurs peuvent recommander des améliorations sur les différents contrôles et participer au processus de développement d'un système afin d'aider une organisation pour éviter une réingénierie coûteuse après sa mise en œuvre[70]. Toutes les activités du système sont généralement journalisées dans des logs qui constituent un ensemble de documents utilisés pour retracer des transactions, connexions, etc. Ces journaux devraient consigner les éléments suivants[70] :
Via ces logs, un auditeur est en mesure d'examiner les éléments suivants[70] :
Compromis de sécuritéEn fonction des différents modèles de cloud, les compromis suivants en matière de sécurité ont été identifiés[71],[72] :
L'ANSSI a écrit un document qui décrit les exigences applicables à un fournisseur de service cloud (SecNumCloud)[73]. On trouve dans ce document une répartition des responsabilités en matière de sécurité par différents types de cloud[73]: Labellisation des prestataires d'infrastructures cloudAfin d'apporter de la confiance et mettre fin aux inquiétudes liées au cloud, des labels ont été créés. On peut citer :
Sécurisation infrastructures cloudSécurité physiqueLors du passage au cloud, les clients perdent le contrôle sur la sécurité physique étant donné que les serveurs peuvent être localisés partout dans le monde. Le concept du cloud peut parfois être trompeur et les utilisateurs ont tendance à oublier que l'usage du cloud nécessite un emplacement physique. L'investissement massif nécessaire pour établir le niveau de sécurité requis dans les centres de données est l'une des nombreuses raisons pour lesquelles les entreprises migrent vers le cloud[78]. La sécurité physique est aussi importante que tout autre contrôle de sécurité visant à protéger la sécurité et le fonctionnement du cloud. Les installations physiques sont soumises à diverses menaces, notamment les risques naturels et les actions humaines. par exemple, une infrastructure cloud hébergée dans un centre de données se trouvant sur une zone inondable est aussi imprudent que d'accorder un accès privilégié à tous les utilisateurs[79]. Tout serveur dans le cloud est vulnérable à un attaquant qui dispose d'un accès physique et d'un temps illimité au serveur[80]. Les éléments suivants devraient être fournis pour assurer la disponibilité du serveur[78],[79],[80] :
Au niveau du réseauLe réseau peut être considéré comme la colle qui maintient ensemble les applications et les utilisateurs du cloud. Les principales préoccupations et fonctions des réseaux sont de permettre la communication entre les appareils connectés au réseau. Dans un centre de données moderne hébergeant une infrastructure cloud, le réseau est beaucoup plus complexe. Néanmoins, il est composé de plusieurs dispositifs que l'on retrouve dans une infrastructure standard, sauf qu'ils sont plus nombreux et ont des fonctionnalités accrues. On y retrouve les équipements traditionnels tels que les routeurs ou pare-feux en bon nombre, mais également des équipements centrés sur le cloud afin d'assurer la sécurité de ce dernier tels que des applications delivery controller, load balancers ou des équipements qui possèdent des fonctionnalités telles qu'un système de détection d'intrusion[81].
Un autre concept qui a évolué en association avec le cloud est celui des réseaux définis par logiciel software-defined networking (SDN). Les applications dans le cloud peuvent être dynamiques en ce qui concerne la taille, l'emplacement et la durée de vie. Cela augmente la difficulté pour trouver les moyens de sécuriser ce type d'environnement difficile. La sécurité définie par logiciel software-defined networking a été conçue pour répondre à ces préoccupations[82]. Il existe deux grands concepts pour la sécurité et les réseaux définis par logiciel. Le premier est l'API, utilisé pour apporter des modifications aux éléments du réseau et du matériel se trouvant dans un centre de données ; le second est l'orchestration, c'est-à-dire le fait de prendre ces API et de les utiliser de manière logique[83].
Nous pouvons donner l'exemple d'OpenStack, qui possède des caractéristiques de sécurité importantes, notamment en matière de réseau. Les APIs d'OpenStack permettent en outre d'exposer les capacités de pare-feu, de répartition de charge, de commutateur réseau et de système de détection d'intrusion (IDS) en tant que services d'infrastructure. L'architecture d'OpenStack a été conçue pour fournir une gestion fine des ressources du cloud. Elle permet aux administrateurs et aux architectes d'appliquer des contrôles sur les rôles liés aux fonctions et les différents services réseaux. Cela donne à Openstack la possibilité de virtualiser les fonctions réseau. Dans le cas de la sécurité du réseau, des éléments tels que le commutateur réseau, NAT, le DHCP, la répartition de charge, la configuration de l'interface réseau et les politiques de sécurité du pare-feu peuvent être instanciés rapidement et en toute sécurité[84]. Au niveau du stockageLe cloud computing apporte des avancées en ce qui concerne le stockage en ligne ; on parle ici de Storage as a Service (en). Parmi les avantages supplémentaires de ces services généralement peu coûteux, figurent les tâches de maintenance du stockage (telles que la sauvegarde, la réplication et la reprise après sinistre), que le fournisseur de service cloud effectue. Un aspect commun à de nombreuses offres de stockage dans le cloud est la fiabilité et la disponibilité du service. La réplication des données est effectuée à un faible niveau par des mécanismes tels que le RAID ou par un système de fichiers[85]. L'une des tendances dans le domaine du stockage en ligne sur le cloud, est l'utilisation d'API. Cela est mis en œuvre sous la forme d'une API qui réside coté client et qui permet d'interagir directement avec le stockage hébergé sur le cloud via des protocoles standard. Cela permet d'effectuer simplement des tâches de sauvegarde, restauration, chiffrement des données en conservant les clés locales de l'API côté client[85]. Sécurité de l'hôte / Hyperviseur / Machines VirtuellesChaque machine virtuelle (VM) s'exécute au sommet du système d'exploitation hôte : le matériel physique doté d'un hyperviseur tel que KVM (kernel-based virtual machine) est appelé « hôte », tandis que toutes les machines virtuelles qui utilisent ses ressources sont appelées « invités »[86]. Si toutefois l'hôte est compromis, aucun composant invité ne sera en sécurité, c'est donc une tâche très importante de sécuriser l'hôte. Cependant, compromettre l'hôte n'est pas si simple mais il y a toujours une chance de trouver une nouvelle vulnérabilité qui pourrait causer une défaillance[87]. Concernant l'hyperviseur, ce dernier étant un logiciel qui a le pouvoir de gérer toutes les VMs s'exécutant sur le système physique, le fait de le compromettre peut entraîner de graves dommages sur l'ensemble de l'infrastructure du cloud. En effet, le code fonctionnant dans une VM ne peut pas communiquer ou affecter le code s'exécutant sur l'hôte qui l'héberge ou dans une VM différente. Cependant, plusieurs problèmes, tels que des bugs dans le logiciel, ou des limitations à la mise en œuvre de la virtualisation, peuvent mettre cet isolement en danger. Les principales vulnérabilités inhérentes à l'hyperviseur sont les rootkit de l'hyperviseur, évasion de machine virtuelle, la modification externe de l'hyperviseur. Ces dernières sont généralement exécutées par des administrateurs système et des employés malveillants qui peuvent profiter de leurs privilèges pour insérer du code malveillant[87],[88]. Les attaquants exploitent les bugs ou les vulnérabilités des hyperviseurs / hôtes et des machines virtuelles , il est donc important d'appliquer un durcissement de la sécurité sur ces derniers[87]:
Sécurité des applicationsLa sécurité des applications est l'un des facteurs essentiels pour une entreprise proposant des clouds de type SaaS. Les processus de sécurisation des applications avec la mise en place des directives de codage sécurisé, des formations, des scripts et des outils de test sont généralement le fruit d'une collaboration entre les équipes de sécurité, de développement et de test. Des tests d'examen du code source des applications et des tests d’attaque doivent être effectués régulièrement afin de garantir la sécurité de l'application. Un manque de collaboration entre les différentes équipes peut entraîner une baisse de la qualité de la conception des applications et donc de leur sécurité[91],[92]. Les applications utilisées sont généralement Open source, par conséquent, les fournisseurs doivent sécuriser leurs applications Web en suivant les directives de l'Open Web Application Security Project (OWASP). Il faut également veiller à verrouiller les ports et les commandes inutiles sur la stack LAMP utilisée dans le cloud[91]. Sécurité des donnéesPar rapport à un centre de données privé, il est compréhensible que les potentiels clients des clouds aient des préoccupations de sécurité concernant le stockage et le traitement de données sensibles dans un cloud public, hybride ou même dans un community cloud (en). Le risque d'exposition des données est réel mais pas fondamentalement nouveau. En revanche, nous pouvons considérer que l'informatique dans le cloud entraîne des défis uniques en matière de sécurité des données[93]. On pourrait penser que le stockage des données d'une organisation sur une infrastructure Informatique traditionnelle offre des avantages potentiels pour la sécurité mais le problème est que la plupart des organisations ne sont pas qualifiées pour travailler dans le domaine de l'expertise de la sécurité informatique. En effet, cela demande des compétences qui ne sont pas courantes. Par conséquent, déplacer des données vers des clouds et les confier à des dépositaires externes n'engendre pas nécessairement de nouveaux risques. A contrario, cela pourrait même améliorer la sécurité et pourrait être plus rentable[93]. Il est tout de même important de préciser que toutes les données ne sont pas exportables vers des clouds publics ; notamment les renseignements relatifs à la sécurité nationale[93]. En outre, le coût de la prestation de sécurisation supplémentaire pour certaines données sensibles aurait potentiellement, comme conséquence, une incompatibilité avec le modèle de cloud public. Par conséquent, lorsque ces besoins en matière de sécurité des données prévalent, d'autres modèles de prestation (cloud communautaire ou privé) peuvent être plus appropriés[93]. Risques courants liés à la sécurité des données dans le cloudLes menaces habituelles à la sécurité des données sont toujours d'actualité. L'utilisation de techniques telles que l'hameçonnage, bien qu'elle ne soit pas nouvelle, peut être redoutable et représente une menace supplémentaire pour la sécurité des données dans une infrastructure cloud[94]. Ainsi, certains fournisseurs ont mis en place des mesures de protections afin de lutter contre ce style d'attaques ciblé sur le cloud[94]:
Un autre risque est lié aux accès inappropriés aux données sensibles des clients par les administrateurs du cloud. Ce risque dépend de deux facteurs principaux : premièrement, il est lié au potentiel d'exposition des données non chiffrées et deuxièmement, à l'accès privilégié du personnel à ces données. L'évaluation de ce risque repose en grande partie sur les pratiques des fournisseurs clouds et sur l'assurance que le personnel ayant un accès privilégié n'aura pas accès aux données des clients[94]. Techniques cryptographiques dans les cloudsUn des moyens efficaces d'assurer la sécurité des données est d'utiliser les techniques de chiffrement de données. Cela permet, avec une gestion sécurisée des clés, d'assurer la confidentialité et l'intégrité des données[95],[96]. La cryptographie est passée de la protection de la confidentialité des communications privées à des techniques permettant d'assurer l'intégrité du contenu, l'authentification et les signatures numériques. En mettant l'accent sur la sécurité des données, la cryptographie a été reconnue comme une technologie essentielle et a une grande valeur pour la sécurité des données dans les clouds[97]. Pour assurer la confidentialité, les techniques cryptographiques sont toutes basées sur des fonctions mathématiques qui doivent répondre à plusieurs exigences, notamment[97] :
En application, les données sont chiffrées à l'aide d'une clé de chiffrement, puis sont déchiffrées à l'aide d'une clé de déchiffrement[98]. En cryptographie symétrique, ces clés sont les mêmes. La cryptographie symétrique a une large applicabilité, est rapide et n'utilise pas beaucoup de ressources. Mais lorsqu'elle est utilisée dans la communication entre différentes parties, la complexité de la gestion des clés peut devenir intenable puisque chaque partie prenante devrait partager une clé secrète unique. Il est très difficile d'établir une clé secrète lorsqu'il n'existe pas encore de canal sécurisé pour permettre l'échange de cette clé en toute sécurité[97],[98]. En revanche, avec la cryptographie asymétrique (également connue sous le nom de cryptographie à clé publique-privée), la clé de chiffrement (clé publique) est différente mais mathématiquement liée à la clé de déchiffrement ou clé privée[99]. L'avantage majeur de la cryptographie asymétrique est que seule la clé privée doit être gardée secrète ; au contraire, la clé publique peut être communiquée et aucune confidentialité n'est requise. Bien que les paires de clés publiques-privées soient liées, il est impossible de calculer une clé privée à partir d'une clé publique[97]. Cette utilisation des clés publiques-privées est un excellent moyen d'assurer la confidentialité dans les infrastructures clouds, et pas seulement pour le chiffrement du contenu. Une clé privée peut être utilisée pour authentifier un utilisateur ou un composant informatique. Elle peut également être utilisée pour lancer la négociation d'une connexion sécurisée[97],[99]. Références
Voir aussiBibliographie
Articles connexes |