Le concept même de Encryption soulève de nombreuses interrogations pour les personnes qui n'ont jamais eu à se préoccuper de la cybersécurité. Évidemment, lorsque vous entendez le terme « chiffrement de qualité militaire », votre confusion gagne du terrain. Mais si vous êtes familier avec les services chiffrés, vous avez peut-être entendu ce terme à plusieurs reprises, notamment dans le contexte des différents services VPN.
Contenu
Certains experts en cybersécurité peuvent qualifier cette formule de ruse marketing. D'autres diront qu'elle traduit des concepts complexes d'une manière facile à comprendre. Mais que signifie réellement le chiffrement de qualité militaire ?
Qu'est-ce qu'un chiffrement de qualité militaire ?
Le chiffrement de qualité militaire fait référence à l'AES (Advanced Encryption Standard) avec des clés de 256 bits. En 2001, l'AES a été annoncé comme étant la nouvelle norme de sécurité de l'information par le National Institute of Standards and Technology (NIST), une agende du Département du commerce américain.
Traditionnellement, le chiffrement de qualité militaire utilise une taille de clé égale ou supérieure à 128 bits. Le gouvernement américain précise que l'AES-128 est utilisé pour les informations secrètes (non classifiées) et l{link1}. Si une entité traite des informations aux deux niveaux, elle adopte généralement la norme AES-256.
Ces lettres et ces chiffres ne signifient pas grand-chose pour une personne qui n'est pas particulièrement férue de technologie. Pour tenter de rendre le chiffrement accessible au plus grand nombre, les entreprises de sécurité ont commencé à chercher un terme décrivant le plus haut niveau de sécurité en employant moins de jargon. Comme l'AES est utilisé par le gouvernement américain pour sécuriser les informations classifiées et par la NSA pour protéger les données de sécurité nationale, le terme « qualité militaire » semblait approprié.
L'AES a-t-il déjà été piraté ?
Le chiffrement par bloc AES-256 n'a pas encore été craqué, mais plusieurs tentatives ont été menées contre les clés AES. La première attaque de récupération de clé sur l'AES complet a été publiée en 2011. par Andrey Bogdanov, Dmitry Khovratovich et Christian Rechberger. Ils ont utilisé l'attaque biclique, qui est environ quatre fois plus rapide qu'une attaque par force brute. Cependant, cette tentative n'a remporté qu'un succès mineur. La clé de 126 bits n'est pas très utilisée, car la clé la plus basse du chiffrement AES contient 128 bits.
Et il faudrait encore des milliards d'années pour déchiffrer la clé de 126 bits par force brute. C'est pourquoi cette tentative ne représente pas un danger pour les informations chiffrées avec l'AES. Il n'existe aucune attaque pratique connue qui permettrait à quelqu'un d'accéder aux données chiffrées par AES si le chiffrement est mis en œuvre correctement.
Combien de temps l'AES résiste-t-il à une attaque ?
Selon le NIST, personne ne peut être certain de la durée pendant laquelle l'AES ou tout autre algorithme de chiffrement reste sécurisé. Toutefois, la norme de chiffrement des données du NIST (connue sous le nom de DES) a été une norme du gouvernement américain pendant environ 20 ans avant de devenir piratable. L'AES prend en charge des tailles de clé nettement plus importantes que celles prises en charge par le DES. En l'absence d'attaques contre l'AES qui soient plus rapides que l'épuisement des clés, et même avec les futures avancées technologiques, l'AES a le potentiel nécessaire pour rester sécurisé bien au-delà de 20 ans.
Est-il nécessaire de bénéficier d'une sécurité de qualité militaire ?
De nombreux sceptiques diront que vous n'en avez pas besoin, car d'autres algorithmes de chiffrement feraient aussi bien l'affaire. Cependant, aucune industrie ou service n'est à l'abri des attaques. Et les services qui stockent des informations sensibles, comme des mots de passe ou des données financières, ne devraient pas utiliser moins que la norme recommandée.
Lorsque le NIST a présenté cette norme au public en 2001, il s'attendait déjà à ce que le secteur privé l'adopte en grande partie. Ils y voyaient et y voient toujours un avantage pour des millions de consommateurs et d'entreprises pour la protection de leurs informations sensibles.
Alors oui, si vous voulez montrer que vous vous souciez de vos utilisateurs et de leurs données à caractère personnel, vous devez utiliser le meilleur chiffrement qui soit.
Qualité militaire ou AES-256 ?
C'est un choix personnel. Si vous êtes un féru de technologie, vous préférez peut-être les termes techniques appropriés. Mais il peut être difficile de traduire des idées technologiques complexes en langage courant. Par conséquent, vous devez parfois utiliser des termes populaires pour illustrer votre message, afin qu'il atteigne l'utilisateur. Si le terme « qualité militaire » aide à combler l'écart de communication, il n'y a aucun mal à l'utiliser.