Regard

Sécurité des données et des calculs en Nuage : risques et opportunités

Partager sur Facebook Partager sur Twitter Partager par mail
Par Mario Südholt, enseignant-chercheur au département informatique de l’Ecole des Mines de Nantes, responsable de l’équipe ASCOLA (ASpect and COmposition LAnguages).

La programmation en Nuage (« Cloud programming », en anglais) modifie fortement aussi bien la vie numérique des particuliers que les relations informatisées des entreprises.

Les particuliers bénéficient notamment d'accès faciles et peu onéreux à des services de stockage de données qui comprennent aussi bien des services généralistes à la « Dropbox » que des services spécialisés dans le stockage et la gestion de bibliothèques de musique. Quant aux entreprises, le Nuage est censé beaucoup faciliter les échanges de données et permettre l'utilisation de ressources de calcul mutualisées par un fournisseur externe (et ainsi abaisser les dépenses en infrastructures informatiques des entreprises). À terme, le Nuage pourrait se révéler la source d'une nouvelle manière d'utiliser Internet qui se fonde non plus sur la recherche des données du passé, mais sur l'immersion des citoyens et consommateurs dans des flux continus d'informations produits en temps réels - un mode de vie dont, par exemple, « Facebook » et les sites d'évaluation de nouveaux produits peuvent constituer les précurseurs.

Pourtant l'utilisation généralisée du Nuage se heurte à des obstacles de taille, notamment l'épineux problème de la sécurisation des échanges et des données ainsi que la protection de données privées. Ces problèmes sont multiples : il peut s'agir

- d'attaques pour l'acquisition de données privées, telles que des coordonnées bancaires de particuliers ou des informations sur des nouveaux produits commerciaux avant leur lancement ;

- de la collecte d'informations personnelles qui, individuellement, peuvent être divulguées sans crainte mais qui, prises dans leur ensemble, permettent d'établir, par exemple, des profils de localisation géographique des utilisateurs de services informatiques ;

- du vol d'identité de particuliers ou d'entreprises dans le but d'accéder (gratuitement ou non) à d'autres services et produits. À noter que le vol d'identité peut être éphémère en consistant par exemple seulement en la « réutilisation » d'une session d'authentification « Facebook » d'un utilisateur par un attaquant ; les conséquences des attaques peuvent être, en revanche, très longues et coûteuses à identifier et à résoudre.

 

A4Cloud : Un projet européen porté par Hewlett-Packard

 

La sécurisation des calculs et des données dans le Nuage requiert la prise en compte de situations très diverses d'attaques, d'utilisations malveillantes ou simplement erronées de services. En conséquence, très fréquemment une combinaison de méthodes et techniques variées doit être mise en application, à commencer par des techniques de cryptage des données et de contrôle d'accès à des calculs et des données. Pourtant, il s’agit de plus en plus fréquemment, en plus de la sécurisation propre, d’identifier les données utilisées par différents services d’une application complexe et d'analyser leur utilisation par une multitude de fournisseurs de services. Les données doivent alors être utilisées par leurs consommateurs d'une manière responsable et transparente. Actuellement, le domaine du Nuage est pourtant sujet à un manque important de notions de responsabilisation et de transparence (l'« accountability » en anglais), en particulier afin de garantir la traçabilité des données à travers des calculs complexes dont différentes parties sont exécutées par différentes propriétaires de services informatiques.

Le projet européen « Accountability for the Cloud » (A4Cloud), un projet intégré réunissant 14 partenaires sous l'égide de l'entreprise Hewlett-Packard, Royaume-Uni, cherche à développer des notions légales et techniques pour les domaines des échanges commerciaux entre entreprises et l'utilisation de services futurs par des particuliers. L'équipe de recherche Ascola du département Informatique des Mines de Nantes y participe par le développement de moyens pour garantir des propriétés de sécurité et le traçage des données qui seront manipulées par les infrastructures futures d'Internet.

En savoir plus sur ASCOLA

En savoir plus : www.a4cloud.eu (site web opérationnel très prochainement)

 

Création site internet : Agence web Images Créations