Deux ans après la libéralisation du cryptage en France, les sites web garantissent-ils le meilleur niveau de sécurité à leurs visiteurs ? Utilisent-ils la sécurité pour inverser la méfiance naturelle des internautes ? État des lieux de la gestion de la confiance par les sites français.
Contexte
Le cryptage des données qui transitent sur Internet est le seul moyen efficace pour assurer la confidentialité des échanges. Cependant, comme toute mesure de sécurisation, sur Internet ou dans la vie matérielle, la cryptographie ne doit pas être considérée comme une protection absolue.
En effet, une information cryptée n'est protégée qu'en proportion des moyens que le pirate peut mettre en oeuvre pour la découvrir. En d'autres termes : il ne suffit pas de crypter ses informations pour être protégé. Encore faut-il les crypter suffisamment.
C'est la taille de la clé* nécessaire pour décrypter les informations qui fixe l'ampleur de la tâche du pirate. Concrètement, cette clé est une suite de bits (0 et 1) qui forme un nombre. Plus il y a de bits, plus le nombre est grand, plus la tâche du pirate sera longue : il devra tester, un par un, toutes les combinaisons possibles jusqu'à trouver le nombre qui décrypte le message protégé. L'opération n'est donc pas complexe : elle demande seulement du temps et de la puissance informatique. Plus on dispose de puissance, moins on a besoin de temps. C'est pour cela que les pirates parlent de "casser" la clé et que la méthode qui consiste à tester toutes les possibilités est appelée "force brute".
Avant 1999 (décret du 17 mars, la réglementation française n'autorisait pas un cryptage supérieur à 40 bits. Si le gouvernement a décidé d'autoriser des clés de cryptographie plus longues, c'est parce que dès 1997, des étudiants américains ont réussi à "casser" une clé de 40 bits en un peu plus de 3 heures avec les PC de leur université. Le cadre juridique français ne permettait donc plus aux entreprises et aux personnes d'assurer la confidentialité de leurs échanges sur Internet.
Afin de stimuler le développement d'Internet et, plus particulièrement, du commerce électronique en France, la nouvelle réglementation a fixé une taille maximale de clé suffisamment élevée pour lever toute inquiétude et rétablir la confiance dans ce nouveau média. En pouvant utiliser des clés de 128 bits, les entreprises et les internautes français disposent d'une sécurité solide pour plusieurs années. En effet, si pour casser une clé de 40 bits, il suffit de tester 240 combinaisons, soit quelques 1 099 milliards de possibilités, pour casser une clé de 128 bits, c'est 2128 combinaisons qu'il s'agit de tester :
| Nombre de combinaisons à tester pour casser une clé de : |
| 40 bits |
1 099 511 627 776 |
| 128 bits |
340 282 366 920 938 463 463 374 607 431 768 211 456 |
|
A l'heure actuelle, les "challenges" que se lancent les informaticiens pour casser des clés de cryptage ne dépassent pas 64 bits, et, tout en mettant en oeuvre la puissance de milliers d'ordinateurs via Internet, durent depuis plusieurs années. Aucun cas de cassage d'une clé de 128 n'a été révélé. Personne ne l'envisage avant plusieurs années.
Le choix du gouvernement d'assouplir cette réglementation était particulièrement bienvenu en 1999 : la grande méfiance des Français à l'égard de la sécurité numéro cartes bancaires et autres informations personnelles est un frein au développement du commerce électronique depuis les débuts du web. Le gouvernement a donc fourni aux entreprises dès 1999 un moyen supplémentaire particulièrement précieux pour renforcer la confiance des utilisateurs dans Internet.
Deux ans après cette libéralisation, la présente étude dresse l'état des lieux de l'utilisation de la cryptographie par les sites des entreprises françaises.
- Les sites de commerce électronique protègent-ils les internautes du piratage de leur numéro de carte bancaire pendant son transfert sur le réseau ?
- Ceux des banques et des courtiers de bourse cryptent-ils les codes d'accès aux comptes de leurs clients ?
- Et si oui, exploitent-ils le niveau de sécurité optimal (128 bits) ou bien utilisent-ils encore des clés dont la vulnérabilité est largement connue (40 et 56 bits) ?
Telles étaient nos premières interrogations.
Nous savons également que la confiance est autant une affaire de psychologie que de technologie. Pour créer ce climat sans lequel aucun échange commercial ne peut avoir lieu, il est indispensable non seulement d'utiliser les moyens de protection les plus rigoureux, mais aussi de le faire savoir aux internautes. Puisqu'ils sont méfiants, puisqu'ils présument qu'Internet n'est pas fiable, c'est aux sites de leur prouver le contraire. Alors seulement ces "visiteurs" se transformeront en clients.
Nous avons donc également analysé comment ces sites traitent le thème de la sécurité pour établir une relation de confiance avec leurs visiteurs. Les internautes connaissent mal les fonctions de sécurité de leur navigateur. Les sites de e-commerce les aident-ils à les découvrir ? Ou bien se contentent-ils d'affirmer que leur site est sécurisé, les laissant dans le doute et l'incapacité de vérifier cette information ? Cryptent-ils uniquement la transmission des données de carte bancaire ou bien prennent-ils au sérieux l'exigence de confidentialité des internautes jusqu'à crypter les coordonnées de livraison et autres informations personnelles ? Enfin, utilisent-ils des gadgets ergonomiques qui masquent les informations de sécurité que le navigateur affiche automatiquement ?
En analysant le mode de prise en compte de la sécurité dans plus de 300 sites web de vente, banque et bourse en ligne, cette étude prend la mesure de la façon dont les sites web gèrent la confiance en rapport avec la sécurité des informations personnelles des internautes.
Elle constitue donc le témoin du degré de prise en compte de l'internaute dans ses attentes les plus profondes par les entreprises.
Sécurité transactionnelle : le périmètre de l'étude
Sur le plan technique, la sécurité des données sur un site web est une vaste question. Elle peut se diviser en deux parties :
- la sécurité des informations à partir de leur arrivée sur le serveur, pendant leur traitement et jusqu'à leur éventuelle destruction. Une personne non autorisée pourrait-elle accéder à ces informations voire les modifier ou les détruire ?
- la sécurité des informations lors de leur transport sur Internet entre le navigateur de l'internaute et le serveur. Un tiers qui intercepterait ces informations lors de leur circulation sur Internet pourrait-il les exploiter ? Ou bien sont-elles cryptées pour en rendre impossible l'utilisation par un éventuel pirate ? Dans ce contexte, on parle de "sécurité transactionnelle".
Concrètement, la sécurité transactionnelle consiste en un cryptage / décryptage des données échangées par le navigateur de l'internaute et le serveur. Comme le navigateur est impliqué dans cette opération, il peut en informer l'internaute en affichant, le plus souvent, l'icône d'un cadenas fermé qui indique également la taille de la clé utilisée (cf. p. 14). Cette icône étant produite par le navigateur, il n'existe pas de faille connue qui permette de la falsifier : elle est le reflet exact de la sécurité transactionnelle utilisée pendant l'échange des données de la page en cours. Il est donc possible à tout internaute de vérifier le niveau de sécurité d'un site simplement avec son navigateur.
A l'opposé, la sécurité des données enregistrées sur le serveur n'est pas vérifiable par l'internaute. Il ne peut donc s'en remettre pour cette partie qu'aux informations disponibles sur le site et à la bonne foi de l'entreprise. Le périmètre de cette étude concerne uniquement la sécurisé transactionnelle telle que définie ci-dessus.
Dans cette étude, les expressions «sécurité», «sécurisation», «site sécurisé» seront utilisées exclusivement par référence à la sécurité transactionnelle, la seule que l’internaute puisse contrôler et que nous ayions pu vérifier sur les sites. |
|
