Alors que notre vie personnelle et professionnelle se déroule de plus en plus en ligne, la protection de notre sécurité et de notre vie privée en ligne est devenue plus difficile que jamais.
Les failles de sécurité sont toujours en augmentation et les cybercriminels ne cessent de mettre au point de nouvelles cyberattaques, plus sophistiquées, capables de déjouer les solutions de sécurité traditionnelles. L’utilisation d’un réseau privé virtuel (VPN), d’un gestionnaire de mots de passe ou d’un système de stockage sécurisé dans le nuage est souvent recommandée pour réduire ce risque.
Mais comment être sûr que le fournisseur de services gardera toutes vos données sensibles secrètes ? La solution réside dans la sécurité à connaissance nulle.
Qu’est-ce que la sécurité zéro connaissance ?
Le modèle de sécurité à connaissance nulle utilise le chiffrement à connaissance nulle et la séparation des données pour s’assurer que toutes vos données sont à l’abri des violations de données. Si votre fournisseur de services dispose d’une architecture dite à connaissance nulle, cela signifie qu’il ne sait rien des données que vous stockez sur ses serveurs et qu’il n’a aucun moyen d’y accéder – c’est pourquoi nous l’appelons « connaissance nulle ».
Voici quelques-uns des principes fondamentaux du modèle de sécurité à connaissance nulle :
- Vos données sont chiffrées et déchiffrées localement, sur votre appareil, puis elles sont stockées sur votre appareil ou dans le nuage. Elles ne sont jamais cryptées ni décryptées sur les serveurs de l’entreprise.
- Vos données ne sont jamais stockées en clair, c’est-à-dire dans un langage que les humains peuvent lire et comprendre.
- Les serveurs de l’entreprise ne peuvent jamais recevoir vos données en format texte.
- Les employés de l’entreprise, ou des tiers intermédiaires, ne peuvent pas accéder à vos données en clair.
- La seule clé capable de crypter et de décrypter vos données est dérivée de votre mot de passe principal – et vous devez être le seul à la détenir.
- Dans le cas du partage de données, la cryptographie à clé publique est utilisée pour garantir la sécurité.
Comme vous pouvez le constater, avec le modèle de sécurité « zéro connaissance », vous êtes le seul à pouvoir accéder à vos données sous leur forme non chiffrée et lisible. Ainsi, même si l’entreprise qui stocke vos données est piratée et que des cybercriminels mettent la main sur vos données, ils ne pourront rien en faire. Même l’entreprise elle-même ne peut pas accéder à vos données non cryptées, et encore moins les cybercriminels ordinaires.
Cependant, comme nous l’avons appris dans le cas malheureux de la violation de données de LastPass, il y a toujours une petite chance que des esprits criminels puissent s’emparer de certaines parties de vos données – en l’occurrence des URL de sites non chiffrées, des noms de clients, des adresses électroniques et des numéros de cartes de crédit partiels.
Cependant, LastPass reste le seul gestionnaire de mots de passe à avoir été victime d’une grave violation de données. Par ailleurs, les gestionnaires de mots de passe constituent l’un des moyens les plus sûrs de stocker vos mots de passe.
Pourquoi le modèle de sécurité « zéro connaissance » est-il essentiel pour la cybersécurité ?
Nous vivons dans un monde où nos informations personnelles sont non seulement stockées et traitées par un nombre inquiétant d’organisations, mais aussi vendues à des tiers et utilisées à des fins de marketing. Si elles sont compromises lors d’une violation de données, ces informations peuvent nous exposer au risque de vol d’identité.
En plus d’être une mauvaise nouvelle pour les clients, les violations de données sont également néfastes pour les entreprises : elles peuvent nuire à long terme à la réputation de l’entreprise, entraîner des pertes financières et laisser l’entreprise sans son bien le plus précieux, à savoir ses données.
Il existe toutefois une solution à ce grave problème de cybersécurité, qui commence par l’application d’un modèle de sécurité à connaissance nulle et la mise en place d’une architecture de cybersécurité autour de ce modèle. Toutes les données des clients étant cryptées du côté client, même en cas de violation de données, seules les données cryptées peuvent être exposées aux cybercriminels – et la puissance du cryptage à connaissance nulle rend ces données inutilisables pour eux.
La sécurité zéro connaissance est-elle appelée à durer ?
Associée à la confiance zéro, la sécurité à connaissance zéro peut empêcher la plupart des violations de données ou, à tout le moins, en atténuer les conséquences. On peut donc affirmer sans trop de risque que le modèle de sécurité sans connaissance est là pour durer.
Les entreprises qui stockent des données sensibles ne peuvent que bénéficier de la mise en œuvre d’une architecture à connaissance zéro, et il en va de même pour leurs clients, c’est-à-dire pour nous, car il s’agit d’une situation gagnant-gagnant pour les entreprises et leurs clients.