L’avènement des nouvelles technologies aidant, les codes secrets sont devenus aujourd’hui légion, en particulier depuis le milieu des années 1970 lorsqu’aux clés de chiffrement symétriques se sont ajoutés des procédés de cryptographie asymétrique encore plus robustes.

Pourtant, malgré cette profusion et cette « routine » d’usage dans les entreprises, un abus de langage demeure encore pour désigner cette façon de faire dans les systèmes informatiques : le mot « cryptage ».

Dans ses guides de référence sur la cryptographie, l’ANSSI le déclare tout simplement impropre en français. Elle lui préfère celui de « chiffrement ». Pourquoi cette distinction catégorique alors qu’on entend encore souvent parler de données cryptées quand il faut un code pour les décoder ? Eh bien d’abord sans doute parce que dire cela c’est se tromper de formulation.

Si quelque chose est cryptée en effet, cela veut dire que personne n’a les outils pour le décrypter. Il va falloir en résumé tout inventer pour y parvenir, comme face au mystère d’Enigma ! Or ce n’est pas le cas des données informatiques. Elles sont certes volontairement codées dans un but de protection de leurs contenus. Mais les clés de déchiffrement existent en parallèle.

Dit autrement, il ne s’agit pas de « tout inventer » pour les lire correctement mais simplement de posséder la bonne clé. Cette clé secrète qui, à l’origine, a permit d’encoder les données pour les rendre lisibles. On parle alors bien, selon les canons de l’ANSSI encore, de déchiffrement. On ne parle pas de décryptage qui consisterait donc plutôt à décoder un message sans avoir la clé. Précisément ce que tente encore trop souvent les hackers de tous bords !

Bref, pour ne pas en perdre votre code, retenez bien que quand on aborde tout ce qui a trait à l’intégrité, l’authenticité et la confidentialité des données stockées ou échangées dans des environnements numériques, on parle de « chiffrement » et de « déchiffrement », et que tout repose dans la grande majorité des cas sur l’utilisation de clés secrètes.

Message écrit, image ou vidéo, page internet, contenu d’un disque dur complet, etc., si le document chiffré peut être multiple, une règle essentielle et commune s’applique par contre dans tout chiffrement. Seuls les destinataires munis de la bonne clé peuvent le lire. Aucun tiers, gérant la transmission ou le stockage des fichiers, ne doit y avoir accès.

Pour parvenir à ce niveau de protection, les données ciblées sont associées à des algorithmes complexes de chiffrement, symbolisés par des clés secrètes. Ces dernières sont principalement de deux natures : les clés de chiffrement symétrique ou celles dites à cryptographie asymétrique.

En quelques mots, les premières recourent au même code secret pour chiffrer et déchiffrer. Ce qui par leur rapidité d’exécution est idéal pour des systèmes informatiques fermés par exemple. A condition qu’expéditeur et destinataire puissent échanger facilement les clés utilisées.
Dans le cas de DSI devant gérer et distribuer beaucoup de clés de chiffrement, la solution peut être toutefois vite fastidieuse en même temps que plus délicate par le risque d’interception entre chaque transmission de clé.

C’est là qu’intervient la cryptographie asymétrique. A condition de pouvoir répondre à sa demande supérieure en puissance de calcul, cette méthode de chiffrement reste la plus efficace par son partage entre deux clés différentes – dites publique et privée – mais mathématiquement reliées.

Pour l’expliquer rapidement, dans ce système l’une des deux clés est utilisée pour chiffrer un message (et devenir la publique). Mais ce sera toujours ensuite la clé opposée (la privée) qui sera utilisée pour le déchiffrer. En guise d’illustration, on est sur le même principe qu’un cadenas avec sa clé unique !

Bien sûr, ces deux types de clés de chiffrement peuvent se compléter. Et c’est d’ailleurs aujourd’hui le cas de nombreux processus cryptographiques. Ils utilisent alors une méthode symétrique pour chiffrer des données et une asymétrique pour les échanges de clés. Les sites Internet en https sont un parfait exemple de cette utilisation hybride.

Dans tous les cas, l’objectif poursuivi par les entreprises devrait toujours reposer sur la garantie d’un chiffrement global, simple et transparent de bout en bout pour tous les utilisateurs.
La cryptographie au service de la confidentialité.