Pour assurer la sécurité des échanges, il est indispensable de pouvoir s’assurer de l’authenticité, de la confidentialité et de l’intégrité des documents et de garantir l’exactitude de leur origine et l’identité des personnes concernées. Ces techniques reposent, directement ou indirectement, sur ce que l’on appelle les certificats électroniques. Les certificats sont des outils de confiance. Ils fonctionnent sur la base du chiffrement et du « hachage ».
La confidentialité d’un support numérique est assurée par le chiffrement, qui va rendre le contenu illisible pour les tiers non autorisés, qui, par définition, ne disposent pas de la « convention secrète » ou clé de déchiffrement. L’intégrité d’un document va elle, être assurée par la création de son empreinte électronique, générée par des algorithmes dit de « hachage », qui va doter le document numérique d’un identifiant unique.
Les certificats sont, le plus souvent, délivrés par des prestataires de service de confiance, reconnus en tant que tel par une autorité de certification [1].
Chiffrement des données : de quoi parle-t-on ?
Le chiffrement est une technique de cryptographie (l’écriture secrète), sous-domaine de la cryptologie (la science du secret). Comme l’indique la CNIL, le chiffrement est une sorte d’ « enveloppe scellée numérique ». Plus précisément, c’est une « méthode qui consiste à protéger ses documents en les rendant illisibles par toute personne n’ayant pas accès à une clé dite de déchiffrement » [2].
Le chiffrement permet d’assurer la confidentialité des échanges et des données (courriels, fichiers, disques durs, communications, etc.) et de s’assurer de l’authenticité de l’expéditeur. Seuls l’émetteur et le destinataire « légitime » peuvent accéder au contenu : une fois chiffrées, les données sont inaccessibles et illisibles, à moins de disposer d’une clé spécifique et secrète, dite « de déchiffrement » qui permet de les...déchiffrer !
Que dit la loi ?
La cryptologie fait l’objet d’une réglementation spécifique : son usage est libre, mais les moyens employés sont réglementés. La cryptologie a commencé à être légalement appréhendée dans les années 80-90, notamment avec la loi du 29 décembre 1990 sur la réglementation des télécommunications [3] , puis par le biais de la réglementation sur les tiers de confiance [4] et la définition des catégories de moyens et de prestations de cryptologie [5].
Il faut aujourd’hui se référer notamment aux dispositions de la loi pour la confiance dans l’économie numérique (LCEN) [6]. On entend par moyen de cryptologie, « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie » [7].
Comment ça marche ?
Bien sûr, un fichier, un dossier, une clé USB ou un disque dur du système d’information peuvent être protégés grâce à un mot de passe. Mais le chiffrement va plus loin. Il consiste à traiter des données grâce à un algorithme de chiffrement, qui va les convertir dans un format « codé ». Pour qu’elles soient à nouveau intelligibles, il faudra effectuer l’opération inverse : le déchiffrement, qui ne peut être fait que par les personnes possédant la clé appropriée. La clé de déchiffrement peut être la même que celle utilisée pour le chiffrement.
Si la même clé est utilisée pour chiffrer et déchiffrer, on parle de chiffrement « symétrique » (une serrure, une clé et un double de la clé). En cas chiffrement dit « asymétrique », deux clés indissociables sont utilisées. À partir de sa clé dite « privée », générée grâce à un logiciel ou une fonctionnalité de chiffrement, une personne crée une clé dite « publique ». Le destinataire (d’un document, d’un courriel, etc.) dispose des deux clés : une clé publique, qui sera connue par l’émetteur et qui est utilisée pour chiffrer les données et une clé privée, connue du seul destinataire, qui est utilisée par lui pour déchiffrer les données qui lui sont transmises.
Les systèmes de chiffrement sont variés. Sous Windows (PC) par exemple, il suffit d’accéder aux propriétés avancées du document ou du fichier (en faisant un clic droit sur l’icône du fichier ou du dossier), de cliquer sur chiffrer le contenu et d’appliquer le chiffrement [8]. Un certificat de chiffrement sera généré automatiquement ; il conviendra de le sauvegarder, pour pouvoir continuer à accéder aux fichiers chiffrés si la clé était perdue notamment. Un cadenas sera matérialisé sur le dossier ou le fichier ; l’accès et toute autre action (déplacer, copier, supprimer, renommer) sont refusés aux tiers. Le document chiffré peut être joint à un e-mail.
Tous les contenus numériques peuvent être chiffrés (documents, courriels, photographies, fichiers audio, etc.), mais tous n’en ont pas besoin. Pour faire le tri, pensez à faire la cartographie de vos données critiques !
Article extrait du dossier paru initialement dans le Journal du Village de la Justice n°92 Spécial Cybersécurité des cabinets d’avocats (2nde partie) à retrouver ici.