[Interview] Cosmian : le chiffrement homomorphe dans la pratique

[Rediffusion du Mag #3] La société française Cosmian s’est lancée il y a près de quatre ans maintenant. Elle « développe des solutions logicielles qui vont mettre à profit des techniques très avancées de chiffrement », nous explique Sandrine Murcia, CEO et cofondatrice de l’entreprise (avec Raphael Auphan et Bruno Grieder).

Le but de cette technique est de permettre « d’utiliser des données sensibles, sans avoir à les partager, à les exposer en clair ». Avec l’explosion du cloud et des besoins en traitement de données, le modèle Zero Trust a le vent en poupe.  Comme son nom l’indique, il s’agit de n’accorder aucune confiance au partenaire dont on utilise les ressources informatiques (stockage, puissance de calcul, etc.). Le chiffrement homomorphe est une solution, mais pas la seule.

Sandrine Murcia nous rappelle que le plus gros obstacle est généralement d’accéder aux données protégées, car elles sont sensibles, personnelles, confidentielles, etc. Le chiffrement homomorphe permet d’assurer un certain niveau de sécurité : « si vous additionnez le chiffré de 2 et le chiffré de 3, vous aurez le chiffré de 2+3 qui est 5 ». Les données sont protégées, le résultat et tous les calculs intermédiaires aussi.

• Chiffrement homomorphe : une idée vieille de 50 ans, qui prend « vie » depuis 10 ans

Chiffrement homomorphe ou fonctionnel

Cette technique – Fully Homomorphic Encryption ou FHE – est très intéressante lorsque  « vous voulez déporter de la puissance de calcul, par exemple dans le cloud ». Vous stockez ainsi vos données chiffrées chez un hébergeur, y effectuez des calculs grâce à de gros serveurs, récupérez le résultat et le déchiffrez localement.

Cela permettrait aussi par exemple d’obtenir des devis sur des consommations énergétiques sans les dévoiler, car il s’agit de données stratégiques et/ou confidentielles pour les entreprises : « vous allez chiffrer vos données exactes de consommation électrique, les envoyer chiffrées et [le fournisseur d’énergie] va appliquer son calcul et va en ressortir un résultat chiffré. Il vous le renvoie et vous le déchiffrez ». Vous avez ainsi un devis, mais votre interlocuteur ne connait pas votre consommation.

Beaucoup de fournisseurs de services cloud (CSP) s’y intéressent, mais « ça a pas mal de limites », ajoute Sandrine Murcia. La (sur)consommation en ressources et le coût engendré sont l’un des freins les plus importants pour passer au FHE.

Ainsi, il existe « un autre type de chiffrement homomorphe que l’on utilise tout particulièrement, c’est celui développé par l’équipe du professeur David Pointcheval [directeur de recherche CNRS spécialisé dans la cryptographie, ndlr] : le chiffrement fonctionnel […]. C’est du chiffrement homomorphe, c’est du calcul sur données chiffrées, mais là vous avez un résultat en clair », nous explique la directrice de Cosmian.

Le principe est assez proche du FHE : « Je fais du calcul sur données chiffrées pour protéger mes données qui rentrent dans le calcul, mais le résultat est en clair. Pourtant, à aucun moment les données initiales ne sont déchiffrées ». Elles restent donc protégées, du moins en supposant que connaitre le résultat ne permet pas de les calculer, bien entendu.

Utiliser des données sans les partager, c’est « un peu magique »

Sandrine Murcia ajoute qu’il existe d’autres voies : « Vous avez d’autres familles de technologies de chiffrement extrêmement intéressantes. Elles ne vont pas chiffrer les données, mais vont en fait chiffrer et protéger l’environnement de calcul. Pas forcément l’algorithme, mais bel et bien l’environnement ».

« Ces techniques décentralisées vont permettre de faire dialoguer des serveurs entre eux, sur lesquels les données ne vont pas sortir pendant les calculs. Les résultats intermédiaires des calculs vont s’échanger et à la fin produiront un résultat […] C’est extrêmement intéressant, car cela veut dire que les données ne bougent pas ». Il n’est donc pas question de déporter des données chiffrées chez un cloud via le modèle Zero Trust, mais bien de les garder en interne.

Dans certains cas – hôpital, banque, usine… – « vous avez de bonnes raisons de ne pas laisser sortir vos données, même chiffrées. Vous préférez qu’elles restent dans votre périmètre de sécurité […] Ça parait un peu magique », mais les données participent tout de même bel et bien aux calculs sans bouger des serveurs.

Des concurrents peuvent avoir intérêt à collaborer

Premier avantage : « des entreprises différentes, voire concurrentes, peuvent en profiter » : chacune conserve bien au chaud ses informations, mais les deux peuvent profiter du résultat des calculs effectués sur les deux jeux de données. Cette technologie peut se révéler très utile dans le monde de la cybersécurité par exemple.

Utiliser du FHE dans le cadre du tri de paquets pouvant ou non être admis sur un réseau (firewall par exemple) n’a pas grand intérêt, nous explique Renaud Sirdey (directeur de recherche et spécialiste de la cryptographie au Commissariat à l'Energie Atomique). Si on est tout à fait capable de traiter des paquets chiffrés, le booléen de la décision – admis ou non – est lui aussi chiffré. Il est donc impossible de s’en servir pour une action. Problème dans ce genre de cas avec du Fully Homomorphic Encryption, connaitre la clé secrète pour avoir accès au résultat en clair permet aussi de déchiffrer les données de base, et donc le trafic.

« Le péché capital, si j'ose dire, c'est d'essayer d'imaginer une architecture dans laquelle la clé secrète est colocalisée avec des opérateurs de calcul homomorphe, cela n’a absolument aucun sens puisque dans ce cas-là autant déchiffrer et faire les calculs en clair, cela coutera moins cher », ajoute le chercheur.

Un autre exemple mis en avant par Sandrine Murcia concerne l’espace et le calcul de risque de collision sur des trajectoires de satellites en orbite basse. Quand elles mettent au point une trajectoire, les sociétés ont besoin de vérifier le plus tôt possible qu’elle ne va pas croiser celle d’un autre satellite. C’est un marché très concurrentiel et personne n’a envie de dévoiler sa trajectoire précise, mais s’associer est bénéfique pour tout le monde, car on évite des accidents.

Le problème est généralement celui-là : « je dois dévoiler mes trajectoires et donc donner beaucoup d’informations sur la façon dont je les ai mises au point ». Si plusieurs sociétés participent aux calculs, toutes n’ont pas accès aux résultats : seules celles ayant un risque commun sont informées. Elles peuvent alors prendre des dispositions pour éviter le drame.

Dans le cas de Cosmian, « on peut faire tout type de calculs. Un calcul, ce n’est pas seulement un algorithme, c’est définir dans le système qui va participer aux calculs, le type de données que l’on veut utiliser (sans y avoir accès) et on détermine aussi qui va avoir accès aux résultats (c’est paramétrable) », nous explique la société.

Des avantages certains dans le monde de la santé

Il existe d’autres exemples où l’on ne révèle le résultat qu’à ceux directement concernés, notamment les cabines médicales. On y prend les constantes d’un patient, tandis qu’un médecin assure la consultation à distance. Les données médicales du patient sont croisées avec d’autres afin d’obtenir des probabilités vis-à-vis de certaines maladies, sans que les données aient besoin de quitter la cabine, ni les hôpitaux où se trouvent les bases de données de référence.

Une fois le calcul effectué, « seuls le médecin et le patient auront accès aux résultats », pas des hôpitaux/institutions dont les données ont été utilisées pour calculer les risques. C’est un travail collaboratif. Cosmian prévient que, bien évidemment, « on ne peut pas lancer un calcul par hasard […] il faut que les participants soient d’accord ».

Cette technique de sécurisation de l’environnement de calcul a par contre une limitation importante : elle nécessite « que les entrées et sorties de commandes se fassent relativement vite ». Il faut donc que les serveurs soient proches géographiquement, cette technique n’est pas adaptée s’ils sont dans des pays différents par exemple.

Quid du RGPD ?

« Pour utiliser une donnée personnelle, il faut le consentement utilisateur », rappelle à juste titre Sandrine Murcia. « Une donnée personnelle, même chiffrée, ça reste une donnée personnelle, ce n’est pas parce que vous la chiffrez que vous pouvez faire des choses ». De plus, « il faut que le calcul soit légitime », et « puis surtout l’entreprise doit calculer un index de privacy, c’est-à-dire le calcul de risque associé à ce calcul, avec consentement et légitimité ».

Le problème étant que, « généralement, l’indice va sortir très élevé, car le calcul va impliquer de manipuler de la donnée en clair. Une société peut décider de prendre le risque… Mais en utilisant ces techniques de chiffrement (sur la donnée ou l’environnement), vous abaissez considérablement le risque lié au calcul », explique la patronne de Cosmian.

Comme nous venons de le voir, il y a donc différentes techniques en fonction des cas d’usage, mais il « n’y a pas une technique qui permet de tout faire ». Les calculs sur des données chiffrées avec un résultat chiffré permettent de déporter la puissance de calcul, mais nécessitent de déplacer vos données et demandent de « gros temps de calcul ».

Ce n’est en revanche pas collaboratif, contrairement aux environnements chiffrés… qui demandent de la proximité. Cette technique a aussi l’avantage de ne pas faire bouger les données des datacenters, ce qui peut être rassurant pour certains.

Les « pièges » du Zero Trust

Mais attention, comme le rappelait récemment l’ANSSI (Agence nationale de la sécurité des systèmes d'information ), le recours à ces solutions Zero Trust est ardu, faute de maturité : « le déploiement est susceptible d'entraîner des erreurs d'installation ou de configuration, d'accroître la vulnérabilité des systèmes d'information et de donner aux entreprises un faux sentiment de sécurité ».

Enfin, et puisqu’il est question de sécurité, c’est l’occasion de rappeler qu’elle est généralement jugée sur le maillon le plus faible de la chaine : l'adoption d'un modèle Zero trust et l'architecture associée ne se substituent aucunement à l'inventaire et au contrôle des terminaux clients utilisés pour accéder aux ressources et aux services.