Nombreuses sont les entreprises qui mettent en avant un «chiffrement de qualité militaire» pour la protection de vos données. Si ce niveau de sécurité est jugé suffisant pour l’armée, il doit certainement être le plus efficace, n’est-ce pas ? C’est une idée reçue. L’expression «chiffrement de niveau militaire» est avant tout un argument marketing dépourvu de définition précise.
Les fondements du chiffrement
Examinons les principes de base. Le chiffrement consiste à transformer des informations en un format inintelligible, tel un charabia. Ces données chiffrées peuvent ensuite être déchiffrées, mais uniquement par les personnes possédant la méthode appropriée. La méthode de chiffrement et de déchiffrement, appelée «algorithme de chiffrement», s’appuie généralement sur une information secrète, la «clé».
Par exemple, lorsque vous accédez à un site web sécurisé en HTTPS et que vous vous connectez avec un mot de passe ou communiquez un numéro de carte bancaire, ces informations sont transmises sur internet sous une forme brouillée (chiffrée). Seuls votre ordinateur et le serveur du site web avec lequel vous communiquez peuvent décoder ces données, empêchant ainsi l’interception de votre mot de passe ou de votre numéro de carte bancaire. Lors de la première connexion, votre navigateur et le site web effectuent un «handshake» afin d’échanger les informations secrètes nécessaires au chiffrement et au déchiffrement des données.
Il existe de nombreux algorithmes de chiffrement, certains étant plus performants et plus difficiles à déjouer que d’autres.
Un standard de chiffrement habillé d’une étiquette marketing
Que ce soit pour accéder à votre banque en ligne, utiliser un réseau privé virtuel (VPN), chiffrer des fichiers sur votre disque dur ou stocker vos mots de passe dans un coffre-fort sécurisé, vous attendez un chiffrement performant et difficile à déchiffrer.
Pour vous rassurer et vous garantir une sécurité maximale, de nombreux services mettent en avant le «chiffrement de niveau militaire» sur leurs sites web et dans leurs publicités.
Cette expression évoque quelque chose de solide et éprouvé, mais il faut savoir que l’armée ne définit pas réellement ce que signifie «chiffrement de niveau militaire». Il s’agit d’une formule imaginée par les équipes marketing. En promouvant un chiffrement «de niveau militaire», les entreprises sous-entendent simplement que «l’armée utilise ce type de chiffrement pour certaines opérations».
Que signifie concrètement «chiffrement de qualité militaire» ?
Dashlane, un gestionnaire de mots de passe qui a mis en avant son «chiffrement de niveau militaire», précise sur son blog la signification de cette expression. Selon Dashlane, un chiffrement de niveau militaire correspond à un chiffrement AES-256. Il s’agit du Standard de Chiffrement Avancé avec une taille de clé de 256 bits.
Comme le souligne le blog de Dashlane, l’AES-256 est «le premier algorithme de chiffrement accessible au public et ouvert approuvé par la National Security Agency (NSA) pour la protection des informations classifiées «Top Secret»».
L’AES-256 se distingue des algorithmes AES-128 et AES-192 par la taille plus importante de sa clé. Cela implique un besoin accru de puissance de calcul pour le chiffrement et le déchiffrement, mais cette complexité supplémentaire rend l’AES-256 plus difficile à décrypter.
Le chiffrement de niveau bancaire : un synonyme
L’expression «chiffrement de niveau bancaire» est une autre formule marketing largement répandue. En réalité, elle désigne le même type de chiffrement : AES-256, ou parfois AES-128, comme l’utilisent la majorité des banques. Certaines banques mettent d’ailleurs en avant leur «chiffrement de niveau militaire».
Il s’agit d’un chiffrement robuste et largement utilisé, souvent considéré comme la meilleure option en matière de sécurité. Timothy Quinn suggère que les termes «chiffrement de niveau militaire» et «chiffrement de niveau bancaire» devraient être remplacés par l’expression «chiffrement standard de l’industrie».
AES-256 est performant, tout comme l’AES-128
L’algorithme AES-256 est largement adopté par de nombreux services et logiciels. En fait, vous utilisez probablement ce «chiffrement de niveau militaire» au quotidien sans le savoir, car la plupart des services ne le présentent pas sous cette appellation.
Par exemple, les navigateurs web modernes prennent en charge l’AES-256 lors des échanges avec les sites web sécurisés en HTTPS. Le terme «moderne» est ici employé de manière large : même Internet Explorer, depuis sa version 8 pour Windows Vista, prenait en charge l’AES-256. Chrome, Firefox et Safari le prennent également en charge, bien évidemment. Vous vous connectez probablement à de nombreux sites web qui utilisent un «chiffrement de niveau militaire» sans le savoir.
Le chiffrement BitLocker intégré à Windows utilise l’AES-128 par défaut, mais peut être configuré pour utiliser l’AES-256. Il n’est pas considéré comme «de niveau militaire» par défaut, mais l’AES-128 reste un chiffrement très performant et résistant aux attaques. Il peut même être considéré comme étant de «niveau militaire» s’il est correctement implémenté.
Le gestionnaire de mots de passe 1Password est passé de l’AES-128 à l’AES-256 en 2013. Jeffrey Goldberg, de 1Password, a expliqué la motivation de ce changement. Il a souligné que l’AES-128 était tout aussi efficace, mais que de nombreux utilisateurs se sentaient plus en sécurité avec un nombre plus élevé et l’idée d’un «chiffrement de niveau militaire».
En définitive, que vous utilisiez l’AES-256, l’AES-128 ou l’AES-192, vous bénéficiez d’un chiffrement relativement sûr. L’un d’eux peut être qualifié de «militaire», un terme souvent surutilisé, mais cela ne change pas grand-chose.
Le chiffrement : un enjeu militaire ?
Un dernier point intéressant : si vous vous demandez pourquoi le chiffrement est lié à l’armée, sachez que cette association est moins forte qu’avant.
La cryptographie a longtemps été un élément majeur de la guerre, permettant aux armées de transmettre des messages de manière sécurisée, à l’abri des regards indiscrets. Même si l’ennemi interceptait un message, il devait le déchiffrer pour en comprendre le contenu. Il y a deux millénaires, les Romains utilisaient déjà des méthodes de chiffrement pour protéger leurs messages, comme le chiffre de César. Pendant la Seconde Guerre Mondiale, l’Allemagne nazie employait la machine Enigma pour chiffrer ses communications. La Grande-Bretagne et ses alliés parvinrent à décoder ces messages chiffrés, une information précieuse qui contribua à leur victoire.
Il n’est donc pas surprenant que de nombreux gouvernements aient réglementé la cryptographie, notamment son exportation vers d’autres pays. Jusqu’en 1992, la cryptographie était classée aux États-Unis comme «équipement militaire auxiliaire». Les entreprises pouvaient développer et utiliser des technologies de chiffrement, mais l’exportation était interdite. Le navigateur Netscape était autrefois disponible en deux versions différentes : une version américaine avec un chiffrement 128 bits et une version «internationale» avec un chiffrement 40 bits (le maximum autorisé).
La réglementation a été modifiée au milieu des années 90 afin de faciliter l’exportation des technologies de chiffrement depuis les États-Unis.
Le chiffrement est depuis longtemps associé à l’armée. Il n’est donc pas étonnant que l’expression «chiffrement de niveau militaire» soit encore perçue comme une garantie de sécurité. C’est sans doute l’une des raisons pour lesquelles les équipes marketing continuent de l’utiliser.