Avec l’intensification des menaces sur le mobile, l’importance des architectures d’applications zero knowledge de bout en bout devient de plus en plus évidente pour les développeurs d’applications. Dans notre monde de plus en plus numérique, les données personnelles du consommateur type sont stockées et traitées par un éventail vertigineux d’organisations, dont beaucoup utilisent ces données à des fins de marketing et de publicité.
La plupart de ces données sont constituées d’informations personnelles identifiables (IPI) très sensibles qui, en cas de violation, exposent les consommateurs au vol d’identité. Pourtant, l’écrasante majorité de ces utilisateurs finaux ne savent pas comment leurs données sont stockées ni si leurs informations numériques sont sécurisées. En plus d’être une mauvaise nouvelle pour les clients, les violations de données organisationnelles ont également des impacts négatifs, parfois catastrophiques, sur l’organisation victime de la violation, ainsi que sur ses employés et partenaires. Les violations de données érodent la confiance, dégradent l’image de marque d’une entreprise et exposent l’organisation à des coûts d’atténuation coûteux, à de lourdes amendes pour violation du RGPD et d’autres réglementations sur la confidentialité des données, ainsi qu’à des poursuites judiciaires de la part des personnes touchées.
Nous ne pouvons pas faire confiance aux fournisseurs de données par défaut et nous ne voulons pas penser à la sécurité des données tout le temps. Nous sommes confrontés aux vols de données toujours de plus en plus importants. Le dernier en date, début janvier, un pirate informatique a exploité une interface de programmation d’applications (API) pour voler les informations personnelles de 37 millions de clients pendant deux mois, sans être détectés, auprès de l’opérateur mobile US T-Mobile.
Ils nous faut choisir donc de garder le contrôle sur les données sensibles pendant que nous les stockons et les partageons, c’est l’idéal.
En termes simples, si le slogan du Zero Trust est “Ne faites confiance à personne”, celui du Zero Knowledge est “Nous ne savons rien, et nous ne pouvons pas accéder à vos données.”. Le Zero Knowledge est particulièrement pertinent pour les fournisseurs de sécurité et les organisations chargées de protéger les données de leurs clients, car il garantit que les utilisateurs finaux sont les seuls à pouvoir accéder à leurs informations. Même si l’entreprise qui stocke les données est victime d’une violation, ses utilisateurs finaux ne seront pas compromis, car l’entreprise elle-même ne peut même pas accéder aux données, et encore moins un tiers.
Le premier principe important de ZKA (Zero Knowledge Architecture), les clients sont chiffrés de bout en bout qui effectuent des calculs crypto. Le serveur ne sait rien de la nature des données. Deuxièmement, toutes les opérations sont sur des données chiffrées. Cela signifie que si vous souhaitez ajouter un nouvel enregistrement à une base de données, vous devez l’ajouter sous forme chiffrée. Si vous souhaitez partager une donnée, vous devez la partager sous forme chiffrée. Des algorithmes et des protocoles ZK garantissent qu’aucune clé, mot de passe, fichier ou tout autre matériel sensible ne soit jamais transféré sous une forme non chiffrée ou réversible.
Le Zero Knowledge est un modèle de sécurité qui utilise un cadre unique de chiffrage et de séparation des données pour se protéger contre les violations de données à distance. Le modèle de Zero Knowledge adhère aux principes suivants :
Lorsque les grandes entreprises technologiques grand public comme Apple, Google ou WhatsApp vantent des fonctionnalités telles que le chiffrement de bout en bout, les avantages sont évidents : les utilisateurs finaux ne veulent pas que quelqu’un d’autre accède à leurs emails, leurs SMS, leurs photos ou toute autre communication personnelle. Or, ce n’est pas forcément le cas. Si de nombreuses organisations prennent la sécurité des données très au sérieux, elles sont tout aussi nombreuses à jouer avec les données des utilisateurs, y compris certaines entreprises qui prétendent être « Zero Knowledge ». Bien que le protocole SSL/TLS et le cadenas sur les sites web constituent une mesure de sécurité importante, les consommateurs doivent comprendre ce que le cadenas protège réellement, à savoir les données en transit entre le consommateur et le site web ou l’application. Les données sont déchiffrées une fois qu’elles atteignent leur destinataire.
Selon Keeper Security, un autre problème se pose lorsque les fournisseurs affirment disposer d’un « chiffrement complet du disque » sur tous les serveurs – mais le fournisseur possède les clés de chiffrement. Il peut même les stocker dans la même base de données que celle qui contient les données des utilisateurs, ce qui revient à enfermer des objets de valeur dans un coffre-fort, puis à noter la combinaison sur un bout de papier et à la coller sur la façade. Dans un environnement Zero Knowledge, le fournisseur ne stocke pas les clés de chiffrement. Il n’y a même pas accès !
Comment savoir si une organisation qui prétend être « Zero Knowledge » l’est vraiment ? Voici quelques signaux d’alarme à surveiller :
Toute entreprise qui stocke des données sensibles, ce qui est le cas de presque tout le monde aujourd’hui, devrait fortement envisager de mettre en œuvre une architecture “Zero Knowledge”.