La CNIL rappelle l’importance de (bien) chiffrer ses données dans le cloud

La tête dans les nuages, mais les pieds sur terre…

La CNIL a mis en ligne cette semaine ses deux premières fiches pratiques sur le cloud, au sens large. Selon la Commission, des questions reviennent fréquemment sur « la complexité des offres disponibles ». Elle fait donc un premier point d’étape.

Sébastien Gavois

Le 24 janvier à 09h42

10 min

Internet

Elle commence par la sécurité des données, afin d’« éclairer les organismes consommateurs de ces services sur le recours au chiffrement et l’utilisation d’outils de sécurité et de performance ». Des rappels toujours bons à prendre, surtout dans les petites structures qui n’ont pas forcément une personne dédiée à ces questions.

Protéger correctement ses données, c’est une obligation légale

Autre rappel : la sécurité est indispensable. Le cloud, pour simplifier, revient à utiliser des machines externes pour le traitement de ses données, il faut donc qu’elles soient correctement protégées. Une phrase parlante revient souvent (même si elle tire grossièrement le trait) : « Le cloud, c'est l'ordinateur de quelqu'un d'autre ». Les données doivent être protégées, c'est une obligation légale : tout manquement peut entrainer une sanction.

Pour preuve, en 2022, « près d’un tiers des sanctions prononcées par la CNIL visaient des manquements à cette obligation » de protéger les données. Et n’espérez pas vous cacher dans les nuages : « Il est également nécessaire de respecter ce principe lorsqu’il est fait appel à des fournisseurs de solutions Informatique en nuage (cloud) », prend soin de préciser la CNIL.

Les données dans tous leurs états

Afin d’entrer dans le vif du sujet, un rappel des trois états de la donnée : stockage (HDD ou SSD par exemple), communication (elle passe d’un emplacement à un autre) et utilisation (consultée, traitée, mise à jour, etc). Ces états « sont généralement assimilés aux concepts de "données au repos", "données en transit" et "données en traitement" ». Suivant leur état et leur emplacement (local, sur le réseau, dans le cloud), elles « doivent être gérées différemment ».

Pour reprendre le slogan d’une marque de pneu, « sans maitrise la puissance n'est rien ». Aussi puissant que soit un algorithme de chiffrement, la protection peut rapidement s’écrouler s’il n’est pas soigneusement implémenté et si les clés ne sont pas correctement gérées. « La gestion des clés est un processus crucial dans la configuration d’un système cryptographique, d’autant plus complexe que le volume et la répartition des données et le nombre d’acteurs impliqués sont importants », rappelle la CNIL. Ne prenez surtout pas cela à la légère.

La CNIL pointe du doigt un problème : il n’y a « pas ou peu de standardisation de la gestion des clés dans le cloud ». Il existe bien des standards internationaux (NIST SP 800 - 57, FIPS 140 - 2, Common Criteria) « mais les standards, les recommandations et bonnes pratiques, spécifiques à la gestion des clés dans le contexte du cloud sont encore peu nombreux. Certains commencent toutefois à émerger, par exemple l’initiative du NIST (le guide Cryptographic key management issues and challenges in cloud services de 2013) ».

Panorama des risques liés

La Commission énumère quelques risques liés aux données stockées chez des fournisseurs de cloud., qu’elles soient au repos, en transit ou en traitement. Les vecteurs d’attaques ne sont pas forcément les mêmes, mais les risques sont réels dans tous les cas :

- « un fournisseur mal intentionné pourrait « fouiller » dans les données du client ;
- des employés du fournisseur pourraient accéder aux données ;
- un fournisseur pourrait réutiliser des données en dehors du contrôle du responsable de traitement, notamment pour des opérations de maintenance et de sécurité (p. ex. : des données de télémétrie) ou d’amélioration de ses services ;
- le fournisseur pourrait devoir répondre à des demandes des autorités judiciaires et de renseignement de pays tiers, exigeant le transfert ou la divulgation de données (notamment personnelles) vers ces pays ;
- enfin, le fournisseur pourrait être victime d’intrusions par des acteurs malveillants ».

Et ce n’est pas seulement du fournisseur de cloud qu’il faut se méfier. Il « s’appuie en général lui-même sur d’autres fournisseurs : de couches dites « inférieures » (machines virtuelles, services PaaS ou IaaS), du centre de données lui-même (colocation d’espace de stockage, etc.) et d’équipements et de composants (systèmes d’exploitation, processeurs, etc.) ». Bref, partez du principe que vos données doivent être protégées en tout temps.

- Quand OVHcloud explique le nuage (souverain) avec une disquette et des voitures

Chiffrement du disque et/ou des fichiers, attention aux clés

La CNIL propose ensuite quelques rappels sur les différentes manières de chiffrer les données au repos. Par exemple, le « chiffrement de disque seul ne convient pas pour éliminer la possibilité d’accès aux données par le fournisseur de cloud, y compris dans le cadre d’une demande d’une autorité étrangère en application d’une législation ayant un effet extraterritorial ».

C’est par contre le cas avec le chiffrement des fichiers, à condition que l’utilisateur soit le seul maitre et utilisateur des clés (il ne faut pas utiliser des clés générées par le fournisseur). Nous parlions de cette problématique lors du lancement du Cloud XPR de Jaguar Network (iliad), qui ne permettait alors pas d’utiliser des clés personnelles. Le discours était alors passé de : « les données sont chiffrées et personne chez Jaguar ne peut les lire » à « quelques personnes » peuvent techniquement y accéder. La nuance est tout sauf subtile.

- Jaguar Network (Iliad) lance son Cloud XPR : réversibilité, prédictibilité et souveraineté

Chiffrement en transit et de bout en bout, ce n’est pas la même chose

Sur le chiffrement des données en transit, la Commission précise que cela « ne correspond pas à la notion de chiffrement de bout en bout ». Les données ne sont chiffrées que pendant le transfert sur le réseau, elles sont chiffrées avant de partir et déchiffrées une fois arrivée.

Dans le cas du chiffrement de bout en bout, « toutes les opérations cryptographiques (chiffrement, déchiffrement, génération et gestion des clés) sont strictement effectuées à la source ou à la destination. Dans ce scénario, le fournisseur de cloud n’a, à un aucun moment, accès aux données en clair ».

La difficulté de chiffrer les données en traitement

Enfin, dernier rappel sur les données en traitement cette fois-ci. « Deux propriétés a priori incompatibles de la donnée doivent être vérifiées simultanément : la donnée doit être en clair pour pouvoir être traitée par le service, et donc connue du fournisseur responsable de ce service ; la donnée doit être chiffrée pour en assurer la confidentialité vis-à-vis du fournisseur du service ». Il existe néanmoins une solution avec le chiffrement homomorphe. Nous y avons déjà consacré un long dossier.

- Chiffrement homomorphe : une idée vieille de 50 ans, qui prend « vie » depuis 10 ans

- [Interview] Cosmian : le chiffrement homomorphe dans la pratique

Conséquences : « Si les données ne sont pas chiffrées lors du traitement par le service (ce qui est typiquement le cas pour des services SaaS), alors le chiffrement au repos et/ou en transit par le fournisseur ne constituent pas des mesures techniques supplémentaires efficaces vis-à-vis d’un accès par le fournisseur, puisqu’il doit avoir accès aux données en clair lorsque le service effectue les traitements »

SaaS signifie pour rappel Software as a Service ou logiciel en tant que service. Il s’agit de mettre des applications sur des terminaux distants (webmail, Microsoft 365, Google Apps, les drives, etc.). Là encore, un de nos dossiers vous explique les notions de bases du cloud.

- Perdus face au cloud ? On vous explique les notions principales

Les outils de sécurisation « collectent des données personnelles »

Dans le second guide, il est question des différents produits nécessaires pour sécuriser un service cloud. On va parler d’Anti-DDoS, de WAF (Web application firewall), de load balancers et de CDN.

En guise de préambule, la CNIL annonce la couleur : « Ces outils collectent des données personnelles [en gras dans le texte, ndlr]. Ces outils peuvent soulever des problématiques au regard de la protection des données : ils peuvent entraîner des transferts de données vers des pays ne garantissant pas un niveau de protection suffisant, ou des risques en matière de sécurité (déchiffrement TLS) ».

Conséquence directe, ces données (notamment à caractère personnel), « qui transitent sur Internet et passent par les CDN, WAF ou outils anti-DDoS offerts par des fournisseurs non européens, peuvent engendrer des transferts hors de l’UE ». Pensez à vérifier l'adéquation avec la réglementation.

Et ce n’est pas parce que vous et votre fournisseur de service êtes en Europe que les données y restent, c’est toute la « magie » d’Internet. « Par exemple, dans le cas des CDN, le besoin de positionner les données sur des serveurs adossés aux grands axes de circulation des données peut conduire à ce qu’elles soient recopiées sur des matériels tiers hors UE, au débouché des câbles transocéaniques ».

Si vous devez utiliser un CDN, la CNIL recommande de sélectionner les données qui seront placées dans le cache du CDN et de configurer « le CDN de sorte à ne pas faire circuler plus de données que dans le cadre d’un accès simple via Internet au service demandé ».

Attention aux transferts de données hors UE

Il appartient à chacun de vérifier auprès de son fournisseur de service si des transferts de données peuvent être réalisés en dehors de l’Europe. La CNIL a publié en 2021 un guide pratique pour vérifier la légalité des transferts de données hors UE. Elle propose également une liste de questions qu’un client pourrait poser à son fournisseur.

Autre rappel important : « les administrateurs de la solution de sécurité peuvent avoir accès à tous les trafics et donc toutes les données qui transitent ».

Si vos données ont une sensibilité particulières et nécessitent d’être immunisées aux lois extraterritoriales (américaines et chinoises par exemple), la CNIL explique que vous devez « utiliser des briques de sécurité offertes par un fournisseur européen, immunisé aux lois extracommunautaires, afin d’exclure de fait tout accès non autorisé aux données par des entités non-européennes, même en cours de transit ».

C‘est tout l’enjeu autour des cloud qui se veulent « de confiance » comme S3ns et Bleu, utilisant respectivement des outils de Google et Microsoft. Thales et Orange/Capgemini assurent toute la partie technique et vérifient le logiciel fourni par les géants américains, dans la limite du possible…

- Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance »
- Bleu : Orange et Capgemini lancent leur « cloud de confiance », basé sur Microsoft Azure et 365 -Next

Commentaires (19)

Ramdisk Abonné

Le 24/01/2024 à 09h53

J'ai une sauvegarde dans un cloud (pCloud), j'ai dessus un disque VeraCrypt sur lequel je stocke mes données administratives. Le reste des sauvegardes en en clair (les photos par exemple). Le défaut de VeraCrypt est qu'il génère un seul gros fichier, ça veut dire que je dois uploader 2 Go à chaque fois que j'ajoute un document.

fdorin Abonné

Modifié le 24/01/2024 à 10h06

Tu peux essayer Cryptomator.

C'est un logiciel qui fait du chiffrement par fichier par fichier. Grosso modo : d'un côté, il prend un fournisseur cloud quelconque pour le stockage des fichiers de manière chiffré. De l'autre, il fait comme pCloud : il créé un lecteur virtuel avec le contenu chiffré/déchiffré à la volée.

Je l'avais testé rapidement, et j'étais convaincu. Maintenant, il faut juste que je migre toutes mes données ^^

|edit] J'ai oublié de préciser : Cryptomator est open-source.

darkjack Abonné

Le 24/01/2024 à 11h22

Merci pour Cryptomator, adopté :)

Notice me Sempai

Le 24/01/2024 à 16h09

J'y suis passe aussi mais je regrette vraiment Boxcryptor. il etait beaucoup mieux.

millman42 Abonné

Le 24/01/2024 à 10h12

Moi, pour mes sauvegardes, j'utilise rclone en mode chiffré vers deux fournisseurs différent pour également avoir de la redondance.

_ls

Le 24/01/2024 à 12h15

J'utilise également pCloud pour mon dossier chiffré. En passant par leur client, seules les modifications sont censées être envoyées.

Je suis en train de tester BlackBlaze, 10 € / mois pour stockage illimité pour les documents non sensibles.

J'ai entendu des mauvais retours concernant Cryptomator alors je préfère éviter. Si quelqu'un a d'autres suggestions, je suis preneur.

JACKPOTE Abonné

Le 24/01/2024 à 12h46

C'était quoi les mauvais retour ?
de mon côté j'en ai plutôt entendu du bien et ça semble pas mal pour avoir accès à ses documents en mode cloud et sans que ça soit chiffré par le fournisseur du cloud.

VanilleAngeles

Modifié le 24/01/2024 à 14h19

Bjr,
pCloud propose du chiffrement en natif. Chiffrement côté client (donc toi). Rien à faire le logiciel se charge de tout.
C'est une option payante, 150€ une seule fois - donc à vie- ; moi j'ai 500Go chez eux et je peux y accéder de n'importe où. Je synchronise les dossiers de mon ordinateur principal (sauf musique).
Cdlt

fred42 Abonné

Le 24/01/2024 à 16h54

Je réponds ici pour tous ceux qui t'ont répondu : Vous êtes hors sujet.

Et en relisant le titre, je comprends pourquoi.

Quand la CNIL parle de données; il s'agit de données personnelles au sens du RGPD (et auparavant de la loi du 6 janvier 1978).

Il ne s'agit pas des données que vous, particuliers, stockez dans le cloud.

Donc, le chiffrement de vos données dans le cloud est bien hors sujet.

Comme disait Sébastien : RTFN !

fdorin Abonné

Le 24/01/2024 à 18h09

On n'est pas forcément hors sujet. Ramdisk parle bien de stockage de données administratives. Autrement dit, données personnelles qui tombent donc sous le coup du RGPD ;)

fred42 Abonné

Le 24/01/2024 à 18h29

Non, tes propres données personnelles ne tombent pas sous le coup du RGPD, pas plus d'ailleurs que ton répertoire personnel où tu stockes les données personnelles de tes connaissances (adresse et numéro de téléphone) même s'il est informatisé. Pour ce dernier point, voir l'article 2, §2. c) :

Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué :

c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;

Remarque : si ton répertoire personnel est géré par un tiers, c'est différent : le c) s'applique à toi, mais ce tiers ne doit pas exploiter ces données pour son propre compte, faute d'autorisation des personnes concernées.

fdorin Abonné

Le 24/01/2024 à 21h26

Ok, je comprends l'incompréhension, car on ne parle pas de la même chose ^^

J'ai cru que tu disais qu'il ne s'agissait pas de données personnelles au sens RGPD.

Tu as tout à fait raison sur les aspects responsabilités et sanctions, qui ne s'appliquent pas pour un usage strictement personnel (attention toutefois, les données d'une association sorte du cadre d'un usage personnel).

Mais ce n'est pas parce que l'usage est personnel que les données ne sont pas des données à caractère personnel au sens RGPD. Les données dans le cloud d'un particulier, en général, contiennent des données à caractères personnelles (document administratif comme dans le cas de Ramdisk, photo, ...)

Maintenant, du point de vue de la sécurisation des données, les conseils que donnent la CNIL sur le cloud s'appliquent, que l'on soit un particulier ou non. Sauvegarder ses données personnelles dans le cloud sans sécurisation, c'est un risque avec des conséquences potentiellement gravissime (usurpation d'identité).

Mais nous sommes d'accord, d'un point de vue juridique, le particulier n'a pas à craindre les foudres de la CNIL en cas le défaut de sécurisation.

xlp Abonné

Le 24/01/2024 à 17h40

Avec un outils adapter tu peux ne transférer que ce qui a changé. Pas de nom à te donner (mmm borg?)

Jarodd Abonné

Le 24/01/2024 à 18h29

+1 pour pCloud, j'ai 12 To chez eux + Crypto, j'ai des scripts qui m'y backupent mes données toutes les 4h.
Bien que leur bizness model me semble un peu bancal (le paiement lifetime n'assure pas la pérennité du service), il fait le boulot. Leur dernière version est un peu bugguée (j'ai un ticket en cours depuis 2 mois, ils n'arrivent pas à corriger...), mais dans l'ensemble ça tourne bien. L'intégration de leur Crypto est bien faite, c'est comme une clé usb chiffrée qui est montée, on y met des fichiers et l'application les chiffre avant de les envoyer.

J'utilise également Cryptomator pour des sauvegardes chiffrées sur disque dur en local.

Sur les autres services utilisés, il manque toujours quelque chose.
SpiderOak chiffre aussi les données en local mais il n'est pas possible de monter l'espace en local.
Icedrive aussi (même s'ils promettent toujours le service, ça ne vient pas). Et le programme n'a pas été mis à jour depuis des années (il tourne bien mais 'évolue plus, il semble abandonné).

BackBlaze sur Linux c'est assez compliqué, je n'ai jamais réussi.

Mais avant de parler chiffrement (rapport à l'actu), ça serait bien que les gens comprennent le principe du cloud. Quand je vois que certains y mettent leurs bulletins de paye, les relevés de banques, voire les analyses de labo, ça fait peur. Mais "c'est pratique" alors tout va bien...

alex.d. Abonné

Le 24/01/2024 à 10h19

Duplicity permet de sauvegarder ses données en les chiffrant localement avant de les envoyer vers le cloud.

JACKPOTE Abonné

Le 24/01/2024 à 12h52

+1 pour Duplicity/Duplicati pour la sauvegarde c'est vraiment pas mal.
Perso j'utilise Duplicati, par contre je trouve l'interface graphique moins pratique que l'ancienne version

fred42 Abonné

Modifié le 25/01/2024 à 14h15

Pour les "données en traitement", je trouve la fiche de la CNIL très légère. Elle rappelle que c'est un point délicat et que le fournisseur d'un service SaaS par exemple a accès à la donnée déchiffrée, mais elle n'en tire aucune recommandation sur ce qu'il faut faire dans ce cas. J'ai l'impression qu'il faut au minimum contractualiser avec le fournisseur pour s'assurer de la protection des données personnelles, comme dans tout autre cas de sous-traitance et donc en regardant tout ce qui peut se passer (en particulier l'impact des lois d'extraterritorialité).

Le chiffrement homomorphe ~~est un ajout du rédacteur qui~~ répond à certains cas, mais certainement pas à l'essentiel des services SaaS.
Édit du 25/01/24 : j'avais raté le passage sur le chiffrement homomorphe dans la fiche de la CNIL, mais elle dit que si la technique est prometteuse, ce n'est pas encore utilisable pour du SaaS.

L'autre point où je les trouve légers, c'est sur l'accord actuel qui régit la protection des données exportées aux USA. Il y a un risque non négligeable qu'il tombe comme les 2 précédents. Mais rien n’attire l'attention sur ce point.
C'est probablement difficile pour la CNIL de communiquer là-dessus étant donné que ces accords s'appliquent aujourd'hui dans l'UE et qu'une position trop réservée là-dessus risquerait d'âtre attaquée par les fournisseurs US.

Manutea

Le 25/01/2024 à 13h41

L'autre option consiste également à ne rien déposer dans le Cloud, en gardant ses données au chaud, chez soi.

fred42 Abonné

Le 25/01/2024 à 14h23

C'est de plus en plus difficile pour une entreprise, surtout si elle est petite et ça ne rend pas forcément la sécurisation des données personnelles plus facile. Ces fiches s'adressent aux entreprises comme c'est rappelé sur la page en lien.