Les données personnelles transmises sur internet sont-elles bien protégées ? Comment les acteurs économiques et institutionnels peuvent-ils préserver leurs données sensibles ? Pour répondre à ces besoins croissants de sécurisation des données, personnelles ou professionnelles, le CEA List a développé une solution inédite d'anonymisation. Protégée par plusieurs brevets, cette technologie de rupture sera prochainement commercialisée par la start-up Snowpack.
La protection des données, une réalité ?
Les informations transitent aujourd'hui sur internet sous forme de paquets de données, qui regroupent les informations utiles et les métadonnées nécessaires à leur acheminement (adresses IP par exemple). S'il est possible de "protéger" les informations utiles en les chiffrant, les métadonnées restent visibles et constituent une vulnérabilité: un acteur malveillant peut facilement déduire de ces flux de données l'identité et la localisation de leurs sources et destinataires, voire "casser" leur chiffrement.
Des techniques d'anonymisation existent, par exemple à l'aide d'un service informatique tiers de confiance, qui masque les identités réelles, mais ces dernières restent visibles chez le fournisseur de services. Ce défaut, qui a été exploité ces deux dernières années, a montré la fragilité des approches actuelles.
Un concept de rupture
Pour accroître la sécurité des échanges sur internet, l'institut Carnot CEA List a conçu et développé une solution particulièrement innovante pour améliorer l'anonymisation: l'information est divisée en fragments constitués de données aléatoires mais complémentaires, ces fragments sont anonymisés et empruntent des "chemins" distincts. Impossible dès lors, pour un éventuel attaquant, d'accéder aux informations sensibles en "observant" le réseau dans lequel cheminent ces fragments !
Impossible aussi, en pratique, de surveiller la masse des fragments en circulation sur le réseau pour un message donné. Et quand bien même, comment y retrouver enfin des fragments complémentaires, sans liens apparents, pour reconstruire correctement l'information ?
Une technologie performante et plug&play
La nouvelle approche du CEA List présente de nombreux avantages: résistance aux outils de surveillance de masse des réseaux, diminution drastique de la surface d'attaque visible, non-recours à un tiers de confiance,... Des preuves de concept ont été réalisées, confirmant la faisabilité et la pertinence de la solution, et deux brevets ont été déposés pour la protéger.
La spin-off Snowpack, en cours de création, a pour objectif de développer et exploiter cette nouvelle technologie... Avec une ambition: devenir LA plateforme d'anonymisation et de sécurité sur Internet, en proposant un service facilement intégrable dans des produits ou services logiciels, en remplacement ou complément de solutions existantes.
Contact:
Christophe Janneteau - christophe.janneteau at cea.fr
Commissariat à l'Énergie Atomique et aux Énergies Alternatives