Dans le monde interconnecté d'aujourd'hui, nous pouvons compter sur toutes sortes de connexions, qu'il s'agisse d'une utilisation classique à la maison, où nous disposons d'ordinateurs, smartphoneset des appareils ménagers, aux entreprises, où l'on trouve des serveurs contenant des données sensibles sur les clients ou une multitude de contrôleurs essentiels à la mission de l'entreprise. fabrication ou qui fournissent des services générateurs de revenus.
Pour tous ces exemples, nous comptons sur nos appareils pour savoir avec qui nous communiquons et pour avoir l'assurance de l'intégrité et de la confidentialité des données - encore une fois, qu'il s'agisse du calendrier d'allumage de nos appareils domestiques intelligents ou des instructions données à la machine de l'usine sur ce qu'elle doit faire, et de tout ce qu'on peut imaginer entre les deux. Notre vie moderne dépend de la confiance que nous pouvons accorder aux systèmes et aux appareils dont nous dépendons pour rendre notre vie plus confortable, accomplir des tâches spécifiques et permettre à notre société de fonctionner plus efficacement à bien des égards.
Comme d'habitude, je réfléchis au cœur de tout cela : les mathématiques et la cryptographie appliquée. Pour certains, ce sont des choses effrayantes. Mais pour d'autres, comme moi, c'est une passion à laquelle j'aime consacrer mon temps, depuis plus de 30 ans. Quoi qu'il en soit, il est important que nous nous souvenions tous que de nombreuses personnes talentueuses ont développé le concept de confiance numérique au cours des quatre dernières décennies. Ces personnes, les cryptographes, ont mis au point des algorithmes et des protocoles qui créent les tissus de confiance et plusieurs mécanismes de sécurité que la plupart d'entre nous utilisent tous les jours, parfois sciemment/intentionnellement, alors que bien souvent, tout est fait pour nous automatiquement et "ça marche tout seul". Il est amusant de constater que les mathématiques nous permettent parfois d'imaginer des choses qui sont encore impossibles à mettre en œuvre - à l'époque, les ordinateurs étaient trop faibles sur le plan du calcul et nous ne disposions pas d'une infrastructure développée qui nous aurait permis de nous connecter à n'importe qui, n'importe où.
L'émergence de la confiance, des navigateurs aux cartes d'identité
Nous qui sommes nés avant l'apparition des smartphones, avant même que Google ou Facebook n'existent, nous nous souvenons de la dernière décennie du XXe siècle, lorsque tout cela a commencé à être mis en pratique.
Tout a commencé avec les navigateurs. Lorsque les gens ont commencé à utiliser des navigateurs pour consommer les informations disponibles sur l'internet, il est devenu impératif de s'assurer que nous pouvions faire confiance à ce que nous voyions dans le navigateur et que d'autres ne pouvaient pas facilement savoir ce que nous regardions. Le navigateur qui a changé le monde est Netscape, où une équipe dirigée par le brillant cryptographe Tahel El Gamal nous a donné la possibilité d'assurer la sécurité des communications sur l'internet. Cela s'appelait SSL protocole, et l'itération moderne s'appelle TLS. Le protocole SSL est basé sur l'utilisation de certificats numériques et de la cryptographie à clé publique. Cette invention a permis aux utilisateurs de l'internet de se connecter en toute sécurité à des sites web, instaurant ainsi la confiance dans l'internet, et l'on peut dire sans risque de se tromper qu'il s'agit d'un facteur extrêmement important qui a contribué à la transformation numérique de nos sociétés. Par exemple, le commerce électronique était pratiquement inexistant avant cette innovation.
Les premières mises en œuvre de la "confiance publique" et des services associés aux systèmes de confiance étaient maladroites, n'étaient pas du tout conviviales et n'ont souvent pas atteint les objectifs visés. Simplement, les produits étaient encore immatures et, comme la plupart des bonnes intentions des marchés publics, la plupart d'entre eux n'ont abouti qu'à un gaspillage de l'argent des contribuables.
Lentement mais sûrement, des succès et des leçons précieuses ont été tirés. Les services B2C ont été introduits par certaines banques, étant donné que les banques, de par la nature même de leur activité, connaissaient l'importance de la confidentialité. Bien qu'efficaces à l'époque, ces systèmes n'étaient pas très évolutifs. Les utilisateurs devaient disposer d'un appareil spécial connecté à un ordinateur (lecteur de carte à puce). C'était un véritable cauchemar que de (ré)installer le pilote software à chaque mise à jour de Windows.
Certains gouvernements avaient l'ambition de fournir des services G2C. Outre les difficultés techniques, nous avons également obtenu des "normes" et des réglementations spécifiques à chaque pays qui, au mieux, protégeaient les fournisseurs nationaux ou privilégiés et, au pire, n'étaient pas suffisamment sûres. Cependant, nous avons beaucoup appris - alors que les premières cartes d'identité à puce émises par les gouvernements ont été des échecs il y a plus de 20 ans, nous avons aujourd'hui de merveilleux exemples où la majorité de la population utilise des cartes d'identité électroniques pour accéder à la fois aux services gouvernementaux et aux services commerciaux.
En vivant en Suède, il est presque impossible d'imaginer comment le monde fonctionnait avant l'arrivée de la BankID - nous accédons quotidiennement à toutes sortes de services grâce à ce service. Un autre exemple est celui des cartes d'identité numériques en Estonie, qui sont largement considérées comme un modèle de réussite. Ces deux exemples sont utilisés à grande échelle depuis plus de dix ans, fonctionnent pour la plupart de la population et fournissent à la société des services qui permettent aux contribuables d'économiser des tonnes d'argent.
Les défis de la confiance numérique à mesure que la technologie évolue
Pourtant, à mesure que les technologies se sont améliorées, les abus et les "attaques" ont suivi. Le problème de l'adaptation à un grand nombre d'utilisateurs est multiple, et je ne mentionnerai ici que quelques exemples.
Il est simple de valider la validité d'un seul certificat, mais avec des millions de certificats émis, chaque partie a besoin d'un moyen efficace pour s'assurer qu'elle communique avec l'homologue prévu et approuvé. Même pour le système le plus simple, avec une seule hiérarchie de confiance, cela implique d'importants transferts de données uniquement pour fournir à chacun les informations de validation actuelles.
En outre, nos navigateurs intègrent plus de 100 hiérarchies de confiance, et un utilisateur ordinaire n'a aucune chance de se valider sur chacune d'entre elles, car cela représenterait une tâche énorme. Par ailleurs, certains de ces points d'ancrage de confiance, appelés autorités de certification publiques, ont été la cible d'attaques malveillantes et d'abus subséquents. Si un tel système est compromis et qu'il compte des millions d'utilisateurs, il peut être pratiquement impossible de rétablir la confiance.
Des améliorations ont été apportées et, aujourd'hui, nous disposons de technologies qui permettent la validation des certificats à la demande, ainsi que de règles et de réglementations interprofessionnelles qui contrôlent la manière dont les certificats de confiance publique sont délivrés. Est-ce parfait ? Non. Cela fonctionne-t-il ? Oui. Le débat est sans fin - il faut constamment s'attaquer aux nouvelles méthodes d'attaque.
Ici, en Europe, nous avons abandonné les normes spécifiques à chaque pays pour nous orienter vers des normes au moins européennes. Cela a ouvert la voie à une concurrence très importante entre les fournisseurs, mais aussi à la possibilité pour un citoyen d'un pays X d'utiliser des services dans un pays Y. Mais le monde ne s'arrête pas au Svalbard ni à Malte - nous devons communiquer avec "tout le monde".
Pour le bien de l'humanité (en grande partie), les grandes entreprises technologiques ont joué un rôle important dans la promotion des technologies qui fonctionnent partout (là où elles ne sont pas interdites ou contrôlées par des gouvernements spécifiques). Oui, c'était dans leur propre intérêt, mais qu'importe : cela fonctionne (la plupart du temps) !
Le consortium consortium 3GPPqui a introduit un certain nombre de normes dans le domaine des télécommunications mobiles. Le modèle de confiance (lié à la confiance numérique et à l'utilisation de PKI) des normes 3GPP est sans doute l'un des mieux développés et est utilisé depuis près de 20 ans dans le monde entier.
Il y a tant de détails que j'omets ici, mais il serait injuste d'oublier les contributions des entreprises et des particuliers à la création des normes ouvertes qui nous permettent de profiter des avantages de la "toile de confiance". tissu de confiance. Lorsque les cryptographes font une nouvelle découverte brillante, les ingénieurs la font fonctionner de manière cohérente et interopérable. C'est tellement plus facile à dire qu'à faire. Les ingénieurs qui travaillent sur les normes doivent à la fois se tourner vers le passé pour permettre aux nouveaux systèmes de fonctionner avec les anciens et vers l'avenir pour permettre les améliorations futures dans un domaine qui évolue rapidement. Les héros méconnus de ces 25 dernières années sont les ingénieurs qui ont contribué à l'élaboration de normes interopérables. Si je devais choisir une organisation, ce serait l IETFoù des contributeurs de nombreuses entreprises ont élaboré des centaines de normes de facto sans lesquelles l'ère numérique dont nous jouissons serait un "Far West" numérique.
Revenez la semaine prochaine pour découvrir les trois tendances qui influencent l'évolution de la confiance numérique. En attendant, découvrez notre livre blanc.
