Une question de confiance

La confiance est essentielle pour notre société. Le fait que nous achetions quelque chose à quelqu'un ou que nous communiquions des données personnelles dépend notamment de notre confiance en l'autre. Comme nous transférons aujourd'hui de plus en plus d'activités sur Internet, il est de plus en plus important que nous puissions évoluer en toute sécurité dans le monde numérique. Le courriel confidentiel provient-il vraiment de notre patron ? Effectuons-nous vraiment des paiements en ligne sur le site de notre banque ? Le lecteur de cartes du supermarché ne facture-t-il effectivement que ce que nous avons acheté ?

Les banques, les autorités ou les commerçants en ligne font aujourd'hui beaucoup d'efforts pour gagner la confiance de leurs clientes et clients. Les sites web cryptés, les certificats d'authenticité, l'authentification bidirectionnelle sont par exemple des instruments censés garantir un transfert de données sécurisé. Mais en y regardant de plus près, on constate que le monde numérique est loin d'être aussi sûr que nous le pensons.

Attaquer le problème à la racine

Les professeurs de l'ETH David Basin, Peter Müller et Adrian Perrig veulent maintenant, en collaboration avec Matthew Smith, professeur à l'université de Bonn, remédier aux failles de sécurité existantes lors de la transmission de données sensibles. Dans le cadre d'un projet de grande envergure, prévu dans un premier temps pour huit ans, ils veulent créer les conditions techniques pour que les transactions dans le monde numérique puissent à l'avenir être effectuées en toute sécurité et donc en toute confiance.

Le projet est soutenu par la Fondation Werner Siemens, qui subventionne le "Centre pour la confiance numérique" avec une donation de 9,83 millions de francs. "L'ETH Zurich dispose d'une grande compétence dans le domaine de la cybersécurité", explique Joël Mesot, président de l'ETH. "Grâce au don généreux de la Fondation Werner Siemens, nous pouvons contribuer par nos recherches à rendre le monde numérique fondamentalement plus sûr", ajoute Hubert Keiber, président du Conseil d'administration de la Fondation Werner Siemens : "La sécurité de l'information fait partie des défis centraux de notre époque. Avec son caractère pionnier, ce projet convient parfaitement à notre fondation".

Système de sécurité fragile

David Basin, professeur de sécurité de l'information, est fermement convaincu qu'une architecture de sécurité fondamentalement nouvelle est nécessaire sur Internet. "Les certificats avec lesquels on signe aujourd'hui des données numériques sont délivrés par plus de 1400 autorités de certification dans le monde entier. Il est plus que douteux que ce système soit vraiment fiable". En effet, il arrive régulièrement que des certificats soient manipulés et que le système soit ainsi déjoué.

Il existe déjà quelques approches pour maîtriser le problème, comme le projet Certificate Transparency de Google ou l'authentification au moyen d'informations géographiques. Mais selon les chercheurs de l'ETH, cela ne suffit pas. "Nous avons besoin d'une réorientation complète", est convaincu Peter Müller, professeur de méthodologie de programmation. "Le système de sécurité actuel a été développé aux débuts d'Internet et ne suffit plus pour les besoins actuels".

Le monde réel comme modèle

Dans leur projet, les chercheurs veulent transférer dans le monde numérique des caractéristiques qui nous donnent confiance dans le monde réel. "Lorsque nous nous trouvons dans une salle de guichet dans une banque ou que nous rencontrons directement une personne, cela crée de la confiance", explique Müller. Une idée possible pour transférer ces éléments dans le monde virtuel est la "poignée de main par téléphone portable" en complément de la traditionnelle poignée de main lors des salutations. L'idée : lorsque deux personnes se rencontrent dans la réalité, elles échangent des clés électroniques via une application. Celles-ci sont utilisées par la suite pour crypter et authentifier des données. "Les deux partenaires savent ainsi qu'un message transmis provient effectivement de l'autre", explique Adrian Perrig, professeur de sécurité des réseaux.

Prendre en compte le facteur humain

Deux points sont centraux dans le nouveau projet : Les nouveaux systèmes seront conçus de manière à ce que leur sécurité puisse être prouvée mathématiquement. Et les chercheurs tiendront compte du fait que les êtres humains ne fonctionnent pas sans erreurs. "Nous devons adapter la technique à l'homme et non l'inverse", constate Basin. "C'est précisément pour cette raison que nous avons fait appel au groupe de Matthew Smith". Le professeur de Usable Security and Privacy examinera, à l'aide d'études de cas, si les technologies développées sont effectivement appliquées dans la réalité comme on le pense ou si des problèmes de sécurité résultent du comportement des acteurs.

Mais est-il encore possible d'implémenter une telle architecture de sécurité fondamentalement nouvelle ? "Nos technologies ne nécessitent pas de changement global d'Internet, elles peuvent être utilisées parallèlement à l'infrastructure actuelle", explique Müller. "Mais nous visons bien sûr une large utilisation de nos résultats, car nous souhaitons que l'Internet devienne fondamentalement plus sûr".