Qu’est-ce que le chiffrement à clé publique ?

Le chiffrement à clé publique est un système cryptographique qui emploie une paire de clés mathématiquement liées (une clé publique et une clé privée) pour chiffrer et déchiffrer les données.Une « clé » est une chaîne de données unique qui agit comme un mot de passe pour verrouiller ou déverrouiller des informations chiffrées, permettant ainsi aux personnes et aux systèmes d’échanger des informations sensibles.

Également appelée cryptographie asymétrique ou cryptographie à clé publique, cette approche de la sécurité diffère fondamentalement du chiffrement symétrique. En effet, elle utilise deux clés distinctes, et non une clé partagée.

Dans les systèmes symétriques tels que l’algorithme de chiffrement AES (Advanced Standard), les deux parties utilisent la même clé secrète, une clé temporaire qu’elles partagent pour chiffrer et déchiffrer les données. Cette approche exige que la clé soit échangée en toute sécurité au préalable. Le chiffrement à clé publique évite ce problème en utilisant une clé publique pour le chiffrement, et une clé privée pour le déchiffrement. C’est comme une boîte aux lettres dans laquelle tout le monde peut déposer une lettre, mais que seul le propriétaire peut ouvrir.

Cette séparation permet une communication sécurisée sur les réseaux non fiables. Elle prend également en charge des fonctionnalités supplémentaires telles que les signatures numériques, l’authentification et la non-répudiation (preuve indéniable de propriété intellectuelle).

En pratique, les deux approches de sécurité sont souvent combinées : le chiffrement à clé publique établit un secret partagé, qui est ensuite utilisé pour accélérer le chiffrement symétrique des données réelles.

Le chiffrement à clé publique résout l’un des défis permanents en matière de cybersécurité : protéger les informations sensibles dans des environnements où la confiance est limitée, voire inexistante.

Selon le Rapport de transparence de Google, les utilisateurs d’ordinateurs de bureau chargent plus de la moitié des pages qu’ils consultent via HTTPS (Hypertext Transfer Protocol Secure) et passent les deux tiers de leur temps sur des pages chiffrées. Le HTTPS repose sur des protocoles cryptographiques comme le Secure Sockets Layer (SSL) et le Transport Layer Security (TLS), qui sécurisent les données en transit en chiffrant la connexion entre les systèmes. Bien que techniquement distincts, les termes SSL et TLS sont souvent utilisés de manière interchangeable, le TLS étant le successeur plus moderne et plus sûr du SSL. 

Lors de la négociation initiale, une communication sécurisée est établie grâce aux certificats SSL/TLS. Ces certificats numériques vérifient l’identité du site Web et établissent une connexion chiffrée. Le site s’appuie sur le chiffrement à clé publique pour échanger en toute sécurité un secret partagé, qui est ensuite utilisé pour chiffrer le reste de la session grâce à un chiffrement symétrique plus rapide.

Avec des millions de certificats SSL/TLS émis tous les jours, parfois jusqu’à 340 000 certificats TLS par heure, le chiffrement à clé publique sécurise les connexions au quotidien. Ce faisant, il constitue l’épine dorsale d’une communication numérique sûre.

En plus de renforcer les sites Web, le chiffrement à clé publique offre plusieurs capacités essentielles qui rendent possible la communication sécurisée :

• Il renforce la confidentialité en permettant à tout expéditeur de chiffrer les messages grâce à la clé publique du destinataire. Seule la clé privée correspondante peut les déchiffrer, ce qui protège les données de tout accès non autorisé.

• Il garantit l’identité et l’intégrité au moyen de signatures numériques. Un expéditeur peut signer un message avec sa clé privée, et le destinataire peut vérifier cette signature en utilisant la clé publique correspondante, permettant ainsi l’authentification et la non-répudiation.

• Il sécurise l’échange de clés en permettant aux systèmes d’amorcer le chiffrement symétrique sans transmettre de secret partagé sur le réseau.

• Il établit la confiance, en particulier lorsqu’il est intégré à une infrastructure à clé publique (PKI) et à des certificats numériques, qui lient les clés publiques à des identités vérifiées via une autorité de certification.

Ces fonctionnalités sous-tendent bon nombre de protocoles et applications de sécurité actuels, notamment le transfert de fichiers sécurisé, les e-mails chiffrés et divers modèles de cryptosystèmes utilisés, entre autres, dans le cloud computing.

Le chiffrement à clé publique repose sur une série de processus interdépendants, chacun essentiel pour permettre une communication sécurisée et vérifiable à l’échelle.

• Génération et distribution des clés
• Chiffrement et déchiffrement
• Chiffrement hybride et secrets partagés
• Signatures numériques et intégrité
• Mise en œuvre et sécurité 

Les algorithmes cryptographiques tels que l’algorithme RSA (baptisé après ses fondateurs Rivest, Shamir et Adleman) et Diffie-Hellman sont utilisés pour générer une paire de clés publique et privée. 

Ces algorithmes reposent sur des problèmes mathématiques complexes, comme la factorisation de grands nombres et la résolution de logarithmes discrets, qui sont faciles à calculer dans un sens, mais difficiles à inverser sans la clé privée.

La clé publique est largement partagée par le biais d’annuaires, d’interfaces de programmation d’application (API) ou de certificats numériques émis par une autorité de certification. La clé privée reste confidentielle. En cas de perte ou de vol, il est impossible de la récupérer, ce qui entraîne une vulnérabilité majeure. En cas de compromission, la clé privée peut permettre aux pirates de déchiffrer les messages, de falsifier les signatures numériques ou encore d’usurper l’identité des utilisateurs légitimes.

Les entreprises utilisent souvent des clés connexes pour différentes tâches : une clé asymétrique pour la signature, une autre pour le chiffrement, et des clés éphémères pour les sessions de courte durée. Une gestion efficace de ces clés cryptographiques est essentielle pour sécuriser le système de chiffrement dans son intégralité.

Pour chiffrer les données, l’expéditeur utilise la clé publique du destinataire. Le texte clair (données lisibles) est transformé en texte chiffré, qui apparaît brouillé et illisible sans la clé appropriée. Seule la clé privée correspondante du destinataire peut déchiffrer le texte chiffré et le rendre à nouveau lisible.

Cette approche du chiffrement asymétrique sécurise la communication sans exiger un échange préalable de clés secrètes. Elle protège contre les attaques de type homme du milieu (MITM) en veillant à ce que seul le destinataire prévu puisse déchiffrer le message.

Si le chiffrement asymétrique élimine la nécessité d’échanger un secret partagé à l’avance, il est souvent utilisé pour en établir un de manière sécurisée. Ce secret partagé est ensuite utilisé avec des algorithmes de chiffrement symétrique pour sécuriser les données en transit, qu’il s’agisse d’un numéro de carte de crédit ou de messages privés échangés par les utilisateurs.

Le chiffrement à clé symétrique, également appelé cryptographie symétrique, est plus efficace pour sécuriser les données en masse. Ainsi, les systèmes de chiffrement hybrides allient cet atout à celui du chiffrement à clé publique. Ils emploient le chiffrement à clé publique pour la distribution sécurisée des clés, puis ils passent au chiffrement à clé symétrique (par exemple, AES) pour se charger des données.

Les signatures numériques permettent aux expéditeurs de signer les données à l’aide de leur clé privée. La signature peut être vérifiée par toute personne disposant de la clé publique, ce qui permet de contrôler l’identité de l’expéditeur et l’intégrité des données.

Des algorithmes tels que l’algorithme de signature numérique (DSA) et l’algorithme de signature numérique à courbe elliptique (ECDSA) jouent un rôle essentiel pour assurer non-répudiation et confiance. Ils sont largement utilisés dans la distribution logicielle, les mises à jour sécurisées et les workflows de signature des documents.

La force d’un système de chiffrement dépend des algorithmes cryptographiques, de la longueur des clés et des pratiques de gestion de ces dernières. Une mise en œuvre inappropriée ou des clés trop courtes exposent les systèmes aux attaques par force brute.

Le National Institute for Standards and Technology (NIST) recommande une longueur de clé d’au moins 2 048 bits pour le RSA et de 256 bits pour la cryptographie à courbe elliptique. Associer protocoles de distribution des clés et algorithmes de chiffrement robustes est considéré comme essentiel pour assurer la protection des données à long terme.

Les différents algorithmes de chiffrement à clé offrent différents niveaux de compromis en termes de performance et de sécurité :

Il existe également des approches plus larges pour déployer le chiffrement à clé publique. Parmi les exemples, citons la cryptographie à courbe elliptique (ECC), une famille d’algorithmes cryptographiques qui permettent un chiffrement fort avec des clés plus petites et une charge de calcul réduite. 

Les algorithmes de signature numérique fondés sur les courbes elliptiques, comme Edwards-Curve DSA (EdDSA) et Elliptic Curve DSA (ECDSA), sont largement adoptés dans les architectures Secure Shell (SSH), JSON Web Tokens (JWT) et Zero Trust. Leur efficacité les rend particulièrement utiles dans les environnements Internet des objets (IdO) et mobiles.

D’autres approches émergentes, comme la cryptographie basée sur les réseaux euclidiens et le hachage cryptographique, promettent de résister aux attaques provenant d’ordinateurs quantiques. Ces algorithmes post-quantiques s’inscrivent dans une démarche continue visant à pérenniser les systèmes de chiffrement à mesure que les menaces informatiques évoluent. 

Le chiffrement à clé publique apparaît dans la quasi-totalité des cadres de cybersécurité modernes, qu’il s’agisse de protéger les transactions de commerce électronique ou de sécuriser les connexions aux serveurs distants. Voici quelques cas d’utilisation courants : 

• TLS/SSL (Transport Layer Security) : ce protocole sécurise les sessions Web, comme celles entre un navigateur et un site Web bancaire, en utilisant la clé publique du destinataire pour chiffrer une clé de session partagée. Cela permet d’activer une communication chiffrée en utilisant le chiffrement à clé symétrique jusqu’à la fin de la session.

• Sécurité des e-mails (S/MIME, PGP) : il s’agit de protéger les messages en transit grâce au chiffrement à clé publique, afin que seul le destinataire prévu puisse en lire le contenu. Les signatures numériques vérifient également l’identité de l’expéditeur et l’intégrité du message.

• Authentification SSH : permet une connexion à distance sécurisée à l'aide d'une paire de clés. Le client prouve qu’il possède une clé privée sans l’exposer, ce qui permet de prévenir les attaques MITM.

• Certificats numériques et vérification des identités : dans une PKI, les autorités de certification émettent des certificats numériques qui associent des clés publiques aux identités vérifiées, ce qui permet aux utilisateurs et aux systèmes de se faire confiance sur les réseaux.

• Blockchain et crypto : la cryptographie à clé publique joue un rôle central dans les systèmes décentralisés comme la blockchain. Les clés privées sont employées pour signer les transactions, tandis que les clés publiques servent d’adresses que d’autres personnes peuvent utiliser pour vérifier et envoyer des actifs.

• Cloud computing : des services comme Amazon Web Services (AWS) et Google Cloud utilisent le chiffrement par enveloppe pour protéger les données. Il s’agit d’encapsuler des clés symétriques à l’aide d’un chiffrement à clé publique pour sécuriser la distribution des clés à l’échelle.

• Signature des documents : les signatures numériques confirment l’authenticité des documents, garantissent l’intégrité des données et assurent la non-répudiation en prouvant l’identité du signataire.

• Authentification des systèmes d’IA : lorsque des agents d’intelligence artificielle (IA) agissent au nom des utilisateurs et des systèmes, le chiffrement à clé publique garantit une vérification sécurisée des identités et des interactions chiffrées avec les API.

• Préparation au quantique : alors que l’informatique quantique menace de compromettre les algorithmes de chiffrement traditionnels, les entreprises commencent à s’intéresser aux techniques de cryptographie quantique pour assurer la pérennité de leur infrastructure.