Back to Navigation

Cinq questions sur le cryptage

Transcription d’un balado sur le cryptage et réponses à cinq questions sur le sujet.

Animateurs :   PB Phil Brown     DW David Whelan

PB : Bonjour, ici Phil Brown en compagnie de David Whelan. Aujourd’hui, nous allons répondre à cinq questions sur le cryptage. Donc, première question, qu’est-ce que le cryptage?

DW : Le cryptage est une façon d’envelopper l’information du programme et les données qui se trouvent dans votre ordinateur. C’est de l’information que vous envoyez par Internet et qui est stockée ailleurs. C’est une façon de tout envelopper dans une couche sécurisée que personne d’autre que vous ne peut percer. Je compare cela à un bonbon, comme un M&M ou un Smartie, qui a une coquille dure à travers laquelle on ne voit rien; on ne peut pas voir quand on le tient que l’intérieur est brun. Et tant qu’on n’a pas entré le mot de passe – et on doit utiliser un nom d’utilisateur et un mot de passe pour décrypter –on ne peut pas ouvrir la coquille et voir ce qu’il y a à l’intérieur. Ensuite, de votre perspective d’avocat, être capable d’utiliser ce qu’il y a dedans. Quand vous avez fini, au contraire d’un M&M, vous voulez vous assurer de réactiver le cryptage; de refermer cette coquille sur l’information afin que lorsque vous ne l’utilisez pas, et qu’elle reste inactive dans le nuage ou dans l’appareil, personne d’autre n’y ait accès. 

PB : Et ce petit contenant ou M&M qui contient cette information dans le dossier, on peut la plupart du temps lui donner l’étiquette qu’on veut.

DW : C’est vrai. Vous pouvez donc cacher l’appareil crypté ou le contenu crypté. Dans de nombreux cas, vous appliquerez le cryptage à tout votre ordinateur pour que dès que vous l’allumez le matin, vous inscriviez votre nom d’utilisateur et votre mot de passe, décryptiez votre appareil et fassiez votre journée de travail. Vous n’avez pas besoin de faire quoi que ce soit d’autre à ce moment; vous n’inscrivez pas de noms d’utilisateur et de mots de passe toute la journée. Puis, à la fin de la journée, quand vous éteignez votre ordinateur, le cryptage se réactive et resécurise toute l’information dans le système.  

PB : Deuxième question : à quel point le cryptage doit-il être fort?

DW : Le cryptage des données se décrit en chiffres – le nombre de bits – donc vous pouvez avoir un cryptage de 120 bits et de 256 bits, etc. Le nombre devrait être aussi élevé que possible et plus vous avez de chiffres, moins vous risquez de vous faire déchiffrer. Certains niveaux de cryptage ont déjà été déchiffrés; une des questions que j’ai déjà reçue était à savoir si la NSA - l’agence de sécurité nationale – serait capable de déchiffrer un cryptage particulier qu’un avocat pensait d’utiliser. J’ai dit, « Vous savez quoi? Peut-être, mais tout le monde n’a pas les outils de la NSA ». Vous voulez donc avoir les plus hauts niveaux de cryptage possible, et cela va arrêter la plupart des gens. Dans de nombreux cas, cela empêchera tout le monde d’avoir accès à votre information.

PB : Troisième question, et une qui est souvent posée est, quelle est la différence entre le cryptage au niveau d’une banque et celui au niveau militaire?

DW : Très bonne question. Je ne sais pas s’il y a une bonne réponse. Quand on parle à quelqu’un du cryptage qu’ils utilisent pour leur produit et qu’ils disent, « nous n’utilisons pas un cryptage de niveau militaire » ou « nous utilisons un cryptage de niveau bancaire », je ne crois pas que cela soit très utile. Il faut leur demander « Combien de bits de cryptage utilisez-vous? » Mon principe est de ne pas nécessairement les croire sur parole, mais de prendre ce chiffre et de le rechercher sur Google. Essayez de voir si vous pouvez trouver de l’information qui montre quel niveau de cryptage a été déchiffré. D’ordinaire, s’ils disent un cryptage de 138 bits, qui est très faible, ce n’est probablement pas assez. S’ils disent quelque chose comme plus de 2 000 bits de cryptage, c’est très sécurisé. 

PB :Quand on parle de bits de cryptage, il s’agit de formules développées à partir d’algorithmes qui ne font que randomiser les chiffres sans fin.

DW : Nous savons que pour le cryptage et la pratique du droit, il faut protéger l’information que les clients partagent avec nous. Le cryptage est un outil un peu épeurant à  cause de tous ces acronymes pour qualifier le type de cryptage à utiliser, la puissance nécessaire, etc. Je pense que si vous vous empêtrez là-dedans, cela peut vous ralentir dans votre décision d’utiliser la technologie et je vous suggère de faire une recherche Web. Si vous connaissez les termes reliés au produit que vous allez utiliser, ou que le vendeur avec qui vous faites affaire utilise, allez-y et faites une recherche sur Google. Vous trouverez beaucoup d’information qui décrit les types particuliers de cryptage, les nombres en particulier et la puissance du cryptage.

PB : La plupart des programmes de cryptage sont assez simple à utiliser, ce qui nous amène à la quatrième question : combien devrais-je dépenser sur le cryptage?

DW : Heureusement, le cryptage est devenu si courant que vous pouvez éviter de dépenser quoi que ce soit. Dans la plupart des versions commerciales de Windows, et Apple MacIntosh, vous verrez que soit dans Windows, vous avez BitLocker, ou dans MacIntosh vous avez FileVault 2. Ils viennent avec le système opérationnel; il s’agit simplement de les activer. Maintenant, si vous voulez utiliser quelque de différent, il y a TrueCrypt de truecrypt.org. C’est un logiciel gratuit qui fonctionnera sur Windows ou sur MacIntosh. Mais en réalité, les outils de cryptage dont vous avez besoin pour sécuriser convenablement votre information sont gratuits.

PB : Cinquième question, et je vais y répondre en partie : est-ce qu’un avocat ou un parajuriste est obligé d’utiliser le cryptage? Et en bref, non, vous n’êtes pas obligés; il n’y a aucune exigence à cet effet. Cependant, vous devez vous demander de qui vous protégez votre information.

DW : C’est juste. En réalité, nous protégeons notre technologie contre les pirates informatiques et autres personnes qui essaient de nous attaquer. Et je crois qu’en général, vos problèmes seront plus vraisemblablement causés par votre personnel ou par des voleurs ou autres choses hors de votre volonté – que par quelqu’un qui recherche spécifiquement des informations que vous détenez. Les voleurs veulent surtout vendre l’appareil qui contient votre information. Il y avait une avocate en Écosse dont l’histoire illustre bien ceci : elle avait un portable sur lequel elle travaillait et l’a laissé sur une table. Il était fermé, éteint, et puis elle est partie en vacances. Elle ne voyageait pas avec son portable. Pendant ce temps, son portable a été volé. Toute l’information qu’il contenait est partie avec. Il n’était pas crypté et elle s’est retrouvée avec un problème de divulgation par inadvertance. Le voleur ne voulait vraisemblablement pas l’information, mais le fait que l’avocate ne l’ait pas cryptée a aggravé son problème, car elle manquait ainsi à son obligation envers son client.

PB : Oui, et si cela arrivait ici, les prochaines mesures à prendre seraient d’informer ces clients que vous avez violé leur confidentialité, et de leur dire qu’ils devraient parler à un avocat pour voir s’ils veulent vous poursuivre ou de contacter LawPro pour voir quelles mesures ils veulent que vous preniez après cela.

 PB : Il y a quelques années, le cryptage relevait d’une technologie parfois difficile à mettre en fonction; cela était peut-être même très cher. Ces jours-ci, c’est très très simple de l’activer dans Windows et MacIntosh, sur les ordinateurs de bureau ou portables. C’est facile de l’installer sur votre téléphone intelligent. C’est facile de vous assurer de l’utiliser quand vous transmettez de l’information par le biais d’un service de nuage ou Web, ou même par courriel. Donc, si vous avez l’occasion ou si vous utilisez la technologie, vous devriez vraiment utiliser le cryptage sur tout appareil où vous conservez vos données.

 PB : Un mot rapide sur le recours à des tiers services ou des tiers fournisseurs : si votre information est cryptée chez eux et qu’ils stockent votre information, et s’ils reçoivent une demande légitime et légale d’une agence de police, ils vont probablement remettre leurs clés de cryptage, et toute information qu’ils détiennent sera remise aux autorités.

DW : C’est vrai. Vous pouvez éviter d’être exposé à une pareille situation en utilisant un outil de pré-cryptage qui fonctionne par synchronisation de dossier dans le nuage. Donc si vous copiez des dossiers de votre ordinateur à un site comme Dropbox ou box.net, vous pouvez utiliser quelque chose comme Cloudfogger ou Viivo – V I I V O – pour crypter l’information sur votre ordinateur avant de le télécharger sur un serveur à distance. Même s’ils doivent remettre leurs clés aux autorités, ils ne pourront pas déchiffrer votre cryptage. Ils ne pourront que décrypter l’emballage de ce bonbon.

PB : Voici pour nos cinq questions sur le cryptage. Merci David.

 DW : Merci Phil.

Explication des termes et concepts