Que désigne le chiffrement de qualité militaire ?

Benjamin Scott
military grade encryption

Le concept même du chiffrement soulève de nombreuses questions pour une personne qui n’a jamais eu à se soucier de cybersécurité. Naturellement, lorsque vous entendez l’expression « chiffrement de qualité militaire », la situation devient encore plus compliquée. Mais si vous avez l’habitude des services chiffrés, vous avez peut-être entendu ce terme à maintes reprises, notamment dans le cadre de divers services VPN.

Certains experts en cybersécurité peuvent qualifier cette formule de gadget marketing. D’autres diront qu’elle traduit des concepts complexes d’une manière facile à comprendre. Mais que signifie réellement le chiffrement de qualité militaire ?

Qu’est-ce qu’un chiffrement de qualité militaire ?

Le chiffrement de qualité militaire fait référence à l’AES (Advanced Encryption Standard) avec des clés de 256 bits. En 2001, l’AES a été annoncé comme la nouvelle norme de sécurité de l’information par le National Institute of Standards and Technology (NIST), une unité du ministère du commerce des États-Unis.

Traditionnellement, le chiffrement de qualité militaire utilise une taille de clé égale ou supérieure à 128 bits. Le gouvernement américain spécifie que l’AES-128 est utilisé pour les informations secrètes (non classifiées) et l’AES-256 pour les informations très secrètes (classifiées). Si une entité traite des informations aux deux niveaux, elle adopte généralement la norme AES-256.

Ces lettres et ces chiffres ne signifient pas grand-chose pour une personne qui n’est pas particulièrement férue de technologie. Pour tenter de rendre le principe du chiffrement accessible au plus grand nombre, les entreprises de sécurité ont commencé à chercher un terme décrivant le plus haut niveau de sécurité en employant des termes moins techniques. Comme l’AES est utilisé par le gouvernement américain pour sécuriser les informations classifiées et par la NSA pour protéger les données de sécurité nationale, le terme « qualité militaire » a semblé approprié.

L’AES a-t-il déjà été piraté ?

Le chiffrement par bloc AES-256 n’a jamais été craqué jusqu’ici, mais plusieurs tentatives ont été menées. La première attaque de récupération de clé sur l’AES complet a été publiée en 2011 par Andrey Bogdanov, Dmitry Khovratovich et Christian Rechberger. Ils ont utilisé une attaque biclique, qui est environ quatre fois plus rapide qu’une attaque par force brute. Cependant, cette tentative n’a pas vraiment été concluante. La clé de 126 bits n’est pas très utilisée, car la clé la plus basse du chiffrement AES contient 128 bits.

Et il faudrait encore des milliards d’années pour déchiffrer la clé de 126 bits par force brute. C’est pourquoi cette tentative ne représente pas un danger pour les données chiffrées avec l’AES. C’est pourquoi cette tentative n’est pas dangereuse pour les données chiffrées à l’aide de l’AES. Il n’existe aucune attaque pratique connue qui permettrait à une personne d’accéder à des données chiffrées par AES si le chiffrement est mis en œuvre correctement.

Pendant combien de temps l’AES pourra-t-il résister ?

Selon le NIST, personne ne peut savoir avec certitude la durée pendant laquelle l’AES ou tout autre algorithme cryptographique restera sûr. Toutefois, la norme de chiffrement des données du NIST (connue sous le nom de DES) a été une norme du gouvernement américain pendant environ 20 ans avant de devenir piratable. L’AES prend en charge des tailles de clé nettement plus importantes que celles prises en charge par le DES. En l’absence d’attaques contre l’AES qui soient plus rapides que l’épuisement des clés, et même avec les futures avancées technologiques, l’AES a le potentiel nécessaire pour rester sûr bien au-delà de 20 ans.

Est-il nécessaire de bénéficier d’une sécurité de qualité militaire ?

De nombreux sceptiques diront que vous n’en avez pas besoin, car d’autres algorithmes de chiffrement peuvent aussi bien l’affaire. Cependant, aucune industrie ou service n’est à l’abri des attaques. Et les services qui stockent des informations sensibles, comme des mots de passe ou des données financières, ne devraient pas utiliser un standard différent que la norme recommandée.

Lorsque le NIST a présenté cette norme au public en 2001, ses experts comptaient déjà sur une large adoption par le secteur privé. Les experts y voyaient et y voient toujours un avantage pour des millions de consommateurs et d’entreprises pour la protection de leurs données sensibles.

Alors oui, si vous voulez montrer que vous prenez soin de vos utilisateurs et de leur données à caractère personnel, vous devez utiliser le meilleur chiffrement existant.

Qualité militaire ou AES-256 ?

C’est un choix personnel. Si vous êtes un féru de technologie, vous préférez peut-être les termes techniques appropriés. Mais il peut être difficile de traduire des idées technologiques complexes en langage courant. Par conséquent, vous devez parfois utiliser des termes courants pour illustrer votre message, afin qu’il soit bien compris par l’utilisateur. Si le terme « qualité militaire » aide à éliminer le problème de la communication, il n’y a aucun mal à l’utiliser.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.