Qu’est-ce que le chiffrement de bout en bout (E2EE) ?
Accueil
Articles
Qu’est-ce que le chiffrement de bout en bout (E2EE) ?

Qu’est-ce que le chiffrement de bout en bout (E2EE) ?

Intermédiaire
Publié le Jul 3, 2020Mis à jour le Dec 7, 2023
9m

Introduction

La nature de nos communications numériques actuelles est telle que vous communiquez rarement directement avec vos pairs. Il semblerait que vous et vos amis échangiez des messages en privé lorsque, en réalité, ils sont enregistrés et stockés sur un serveur central.

Il se peut que vous ne souhaitiez pas que vos messages soient lus par le serveur qui est responsable de les transmettre entre vous et le destinataire. Dans ce cas, le chiffrement de bout en bout (ou plus simplement, E2EE) peut être la solution pour vous.

Le chiffrement de bout en bout est une méthode permettant de chiffrer les communications entre le récepteur et l’expéditeur, de sorte qu’ils soient les seules parties pouvant déchiffrer les données. Ses origines pourraient être retracées vers les années 1990, lorsque Phil Zimmerman a publié Pretty Good Privacy (mieux connu sous le nom PGP).

Avant de comprendre pourquoi vous pourriez vouloir utiliser E2EE et comment cela fonctionne, voyons comment fonctionnent les messages non chiffrés.

Comment fonctionnent les messages non chiffrés ?

Voyons comment pourrait fonctionner une plateforme de messagerie ordinaire pour smartphone. Vous installez l’application et créez un compte, ce qui vous permet de communiquer avec d’autres personnes qui ont fait de même. Vous écrivez un message et saisissez le nom d’utilisateur de votre ami, puis vous le publiez sur un serveur central. Le serveur voit que vous avez adressé le message à votre ami, il le transmet donc au destinataire.

Communication entre les utilisateurs A et B. Ils doivent faire passer les données par le serveur (S) pour se joindre.

Communication entre les utilisateurs A et B. Ils doivent faire passer les données par le serveur (S) pour se joindre.


Vous connaissez peut-être ce modèle comme un modèle client-serveur. Le client (votre téléphone) ne fait pas grand-chose, mais le serveur s’occupe du gros du travail. Mais cela signifie également que le fournisseur de services agit comme un intermédiaire entre vous et le récepteur.

La plupart du temps, les données entre A <> S et S <> B du diagramme sont chiffrées. Un exemple en est la Sécurité de la couche de transport (TLS), qui est largement utilisée pour sécuriser les connexions entre clients et serveurs.

Le TLS et les solutions de sécurité similaires empêchent quiconque d’intercepter le message lorsqu’il passe du client au serveur. Bien que ces mesures puissent empêcher des personnes extérieures d’accéder aux données, le serveur peut toujours les lire. C’est là que le chiffrement entre en jeu. Si les données provenant de A ont été chiffrées avec une clé cryptographique appartenant à B, le serveur ne peut pas les lire ni y accéder.

Sans les méthodes E2EE, le serveur peut stocker les informations dans une base de données avec des millions d’autres. Comme les violations de données à grande échelle l’ont prouvé à maintes reprises, cela peut avoir des conséquences désastreuses pour les utilisateurs finaux.

Comment fonctionne le chiffrement de bout en bout ?

Le chiffrement de bout en bout garantit que personne, pas même le serveur qui vous connecte aux autres, ne peut accéder à vos communications. Les communications en question peuvent être du texte brut, des e-mails, des fichiers ou des appels vidéo.

Les données sont chiffrées dans des applications telles que Whatsapp, Signal ou Google Duo (en principe) afin que seuls les expéditeurs et les destinataires puissent les déchiffrer. Dans les schémas de chiffrement de bout en bout, vous pouvez lancer ce processus avec ce qu’on appelle un échange de clés.

Qu’est-ce qu’un échange de clé Diffie-Hellman ?

L’idée de l’échange de clés Diffie-Hellman a été conçue par les cryptographes Whitfield Diffie, Martin Hellman et Ralph Merkle. C’est une technique puissante qui permet aux parties de générer un secret partagé dans un environnement potentiellement hostile.

En d’autres termes, la création de la clé peut se faire sur des forums non sécurisés (même sous le regard d’observateurs) sans compromettre les messages qui en découlent. À l’ère de l’information, cet aspect est particulièrement précieux car les parties n’ont pas besoin d’échanger physiquement des clés pour communiquer.

L’échange lui-même implique de grands chiffres et de la magie cryptographique. Nous n’entrerons pas dans les détails. Au lieu de cela, nous allons utiliser l’analogie populaire des couleurs de peinture. Supposons qu’Alice et Bob soient dans des chambres d’hôtel séparées aux extrémités opposées d’un couloir, et qu’ils souhaitent partager une couleur particulière de peinture. Ils ne veulent pas que quelqu’un d’autre découvre ce que c’est.

Malheureusement, l’étage regorge d’espions. Supposons qu’Alice et Bob ne puissent pas entrer dans les chambres de l’autre dans cet exemple, afin qu’ils puissent uniquement interagir dans le couloir. Ce qu’ils pourraient faire, c’est se mettre d’accord sur une peinture commune dans le couloir, disons, le jaune. Ils prennent une boîte de cette peinture jaune, la partagent entre eux et retournent dans leurs chambres respectives.

Dans leurs chambres, ils mélangeront le jaune avec une peinture secrète, une peinture que personne ne connaît. Alice utilise une nuance de bleu, et Bob une nuance de rouge. Les espions ne peuvent pas voir les couleurs secrètes qu’ils utilisent. Ils verront cependant les mélanges résultants, car Alice et Bob sortent maintenant de leur chambre avec leurs concoctions bleu-jaune et rouge-jaune.

Ils échangent ces mélanges en public. Peu importe que les espions les voient maintenant, car ils ne seront pas en mesure de déterminer la nuance précise des couleurs ajoutées. N’oubliez pas qu’il ne s’agit que d’une analogie : les véritables mathématiques qui sous-tendent ce système rendent encore plus difficile de deviner la « couleur » secrète.

Alice prend le mélange de Bob, Bob prend celui d’Alice, et ils retournent dans leur chambre. Maintenant, ils ajoutent leurs couleurs secrètes.

  • Alice combine sa nuance secrète de bleu avec le mélange rouge-jaune de Bob, ce qui donne un mélange rouge-jaune-bleu.

  • Bob combine ses nuances secrètes de rouge avec le mélange bleu-jaune d’Alice, donnant un mélange bleu-jaune-rouge.

Les deux combinaisons ont les mêmes couleurs, elles doivent donc être identiques. Alice et Bob ont réussi à créer une couleur unique que les adversaires ne connaissent pas.

Les deux combinaisons comportent les mêmes couleurs, elles doivent donc être identiques. Alice et Bob ont créé avec succès une couleur unique que les adversaires ne connaissent pas.

C’est donc le principe que nous pouvons utiliser pour créer un secret partagé au grand jour. La différence est que nous ne sommes pas confrontés aux couloirs et à la peinture, mais aux canaux de communications non sécurisés, aux clés publiques et aux clés privées.

Échanger des messages

Une fois que les parties ont partagé leur secret, elles peuvent l’utiliser comme base pour un schéma de chiffrement symétrique. Les implémentations populaires intègrent généralement des techniques supplémentaires pour une sécurité plus robuste, mais tout ceci est abstrait pour l’utilisateur. Une fois que vous vous connectez avec un ami sur une application E2EE, le chiffrement et le déchiffrement ne peuvent se faire que sur vos appareils (sauf en cas de vulnérabilité majeure du logiciel).

Peu importe que vous soyez un pirate, le fournisseur de services ou même les forces de l’ordre. Si le service est réellement chiffré de bout en bout, tout message que vous intercepterez aura sera incompréhensible.

Les avantages et les inconvénients du chiffrement de bout en bout

Inconvénients du chiffrement de bout en bout

Le chiffrement de bout en bout n’a qu’un seul inconvénient, et le fait qu’il s’agisse d’un inconvénient dépend entièrement de votre point de vue. Pour certains, la proposition de valeur de l’E2EE est problématique, précisément parce que personne ne peut accéder à vos messages sans la clé correspondante.

Les délinquants affirment que les criminels peuvent utiliser E2EE en toute sécurité, sachant que les gouvernements et les entreprises technologiques ne peuvent pas déchiffrer leurs communications. Ils pensent qu’il n’est pas nécessaire de protéger leurs messages et leurs appels téléphoniques contre la loi. Ce sentiment est partagé par de nombreux politiciens qui soutiennent la législation visant à ouvrir des portes dérobées dans les systèmes pour leur permettre d’accéder aux communications. Bien sûr, cela irait à l’encontre de l’objectif du chiffrement de bout en bout.

Il convient de noter que les applications qui utilisent E2EE ne sont pas sûres à 100 %. Les messages sont masqués lorsqu’ils sont relayés d’un appareil à un autre, mais ils sont visibles sur les terminaux, c’est-à-dire les ordinateurs portables ou les smartphones à chaque extrémité. Ce n’est pas un inconvénient du chiffrement de bout en bout, mais il vaut la peine de le garder à l’esprit.

Le message est visible en texte brut avant et après déchiffrement.

Le message est visible en texte brut avant et après déchiffrement.

E2EE garantit que personne ne peut lire vos données pendant leur transit. Mais d’autres menaces existent :

  • Votre appareil pourrait être volé : si vous n’avez pas de code PIN ou si l’attaquant le contourne, il peut avoir accès à vos messages.

  • Votre appareil pourrait être compromis : votre machine pourrait être équipée d’un logiciel malveillant qui espionne les informations avant et après leur envoi.

Un autre risque est que quelqu’un puisse s’interposer entre vous et votre homologue en montant une attaque de type « man-in-the-middle ». Cela se produirait au début de la communication. Si vous effectuez un échange de clés, vous ne savez pas qu’il s’agit bien d’un échange avec votre ami. Vous pourriez, sans le savoir, établir un secret avec un attaquant. L’attaquant reçoit ensuite vos messages et a la clé pour les déchiffrer. Ils peuvent tromper votre ami de la même manière, c’est-à-dire qu’ils peuvent relayer des messages et les lire ou les modifier à leur guise.

Pour contourner ce problème, de nombreuses applications intègrent une fonctionnalité de code de sécurité. Il s’agit d’une chaîne de chiffres ou d’un code QR que vous pouvez partager avec vos contacts via un canal sécurisé (idéalement hors ligne). Si les numéros correspondent, vous pouvez être sûr qu’un tiers n’espionne pas vos communications.

Avantages du chiffrement de bout en bout

Dans une configuration sans aucune des vulnérabilités mentionnées précédemment, le C2BEB est incontestablement une ressource très précieuse pour une confidentialité et une sécurité accrues. Comme le routage en oignon, il s’agit d’une technologie prônée par les activistes de la vie privée dans le monde entier. Il est également facile à intégrer dans des applications qui ressemblent à celles auxquelles nous sommes habitués, ce qui signifie que la technologie est accessible à toute personne capable d’utiliser un téléphone portable.

Ce serait une erreur de considérer E2EE comme un mécanisme utile uniquement pour les criminels et les lanceurs d’alerte. Même les entreprises qui paraissaient sûres se sont avérées sensibles aux cyberattaques, exposant des informations utilisateur non chiffrées à des parties malveillantes. L’accès à des données utilisateur telles que des communications sensibles ou des documents d’identité peut avoir des répercussions catastrophiques sur la vie des individus.

En cas de piratage d’une entreprise dont les utilisateurs s’appuient sur E2EE, les pirates ne peuvent pas extraire d’informations significatives sur le contenu des messages (à condition que la mise en œuvre du chiffrement soit robuste). Au mieux, les pirates pourront mettre la main sur des métadonnées. Cela reste préoccupant du point de vue de la vie privée, mais c’est une amélioration par rapport à l’accès au message chiffré.


Conclusion

Outre les applications mentionnées précédemment, il existe un nombre croissant d’outils E2EE disponibles gratuitement. iMessage d’Apple et Duo de Google sont fournis avec les systèmes d’exploitation iOS et Android, et d’autres logiciels soucieux du respect de la vie privée et de la sécurité continuent de voir le jour.

Répétons que le chiffrement de bout en bout ne constitue pas une barrière magique contre toutes les formes de cyberattaques. Cependant, avec peu d’efforts, vous pouvez activement l’utiliser pour réduire massivement le risque que vous vous exposez en ligne.

Avis de non-responsabilité et avertissement concernant les risques : ce contenu vous est présenté « tel quel » à des fins d’information générale et éducative uniquement, sans représentation ni garantie d’aucune sorte. Il ne doit pas être interprété comme un conseil financier, légal ou venant d’un professionnel, ni comme un moyen de recommander l’achat d’un produit ou d’un service spécifique. Vous devriez vous renseigner auprès des professionnels appropriés avant toute décision. Lorsque l’article à été rédigé par un contributeur tiers, veuillez remarquer que les opinions de l’article ne reflètent pas nécessairement celles de Binance Academy. Veuillez lire l’intégralité de notre avis de non-responsabilité ici pour en savoir plus. Les prix des actifs numériques peuvent être volatils. La valeur de votre investissement peut varier à la baisse ou à la hausse, et vous ne récupérerez peut-être pas le montant que vous avez investi. Vous êtes seul(e) responsable de vos décisions d’investissement et Binance Academy n’est pas responsable des pertes que vous pourriez subir. Ce contenu ne doit pas être interprété comme un conseil financier, légal, ou venant d’un professionnel. Pour en savoir plus, veuillez vous reporter à nos Conditions d’utilisation et à l’avertissement concernant les risques.