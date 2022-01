Pour les entreprises comme pour les États, certaines informations sensibles transitant sur internet valent de l’or. Pour limiter les risques d’espionnage, les entreprises ont recours à des solutions de chiffrement. Mais les métadonnées restent visibles et constituent une vulnérabilité. Spin-off du CEA-List, Snowpack propose une solution originale pour camoufler les informations dans une multitude de « flocons ».

Le cyberespionnage est une pratique généralisée et qui ne date pas d’hier. En juin 2007, des pirates chinois avaient réussi à infiltrer un réseau non protégé utilisé par les principaux conseillers politiques de Robert Gates, alors ministre américain de la Défense. L’arroseur arrosé…

Pour limiter les risques de vol ou d’interception de données, des entreprises s’appuient sur différentes solutions qui chiffrent les e-mails ou les transferts, en s’appuyant notamment sur un VPN. Cette technologie permet de créer un « tunnel virtuel » et sécurisé entre l’ordinateur de l’expéditeur et son destinataire, ou entre deux sites distants.

Mais ces pratiques ne sont pas encore généralisées dans toutes les sociétés. Et si elles compliquent la tâche des pirates, elles ne sont pas parfaites : de nombreux acteurs (Allot, Atis, Sandvine…) se sont d’ailleurs spécialisés dans les outils d’analyse de flux chiffrés directement dans le cœur du réseau. En effet, les VPN présentent plusieurs limitations.

Anonymiser l’ensemble des flux

Premièrement, les VPN reposent sur des briques de chiffrement qui peuvent présenter des vulnérabilités d’implémentation voire des backdoors. De plus, certains VPN exploitent des données à l’insu de leurs utilisateurs ou n’ont pas mis en place une politique de sécurité pertinente, ce qui rend ces données accessibles. Deuxièmement, ils n’assurent pas une parfaite anonymisation des métadonnées (adresses IP, informations sur les couches protocolaires) qui servent à acheminer les paquets. « En restant visibles, les métadonnées peuvent constituer une source d’informations importante pour des attaquants, qui peuvent identifier quelle personne communique avec quelle autre sur le réseau », précise Christophe Janneteau, en charge du service Interactions et réseaux au CEA-List. Un État qui souhaiterait espionner les échanges entre des personnes travaillant pour un avionneur ou un industriel dispose de moyens humains et financiers pour reconstituer un puzzle à partir de différents petits éléments.

Pour assurer une confidentialité quasi parfaite (le risque zéro n’existant pas), il est donc nécessaire de camoufler ces métadonnées. Développée depuis 2016 par le CEA-List, la technologie commercialisée par Snowpack, spin-off du CEA-List créée en mai 2021, propose une solution inédite basée sur l’anonymisation de l’ensemble des flux internet (e-mail, transfert de fichiers, vidéo en live…).

Déployée sur l’ensemble des équipements réseau d’une entreprise ou au niveau d’internet, elle consiste à diviser l’information en fragments constitués de données aléatoires, mais complémentaires, qui empruntent différents chemins.

Du bruit qui brouille l’information

« Sur ces chemins, nous ne faisons pas transiter de paquets IP, mais ce qu’on appelle des flocons, c’est-à-dire du bruit qui a une taille standardisée. Si une personne malveillante prend la main sur l’un des flocons, elle doit retrouver parmi l’ensemble des autres celui qui est son « complément » pour pouvoir accéder à la donnée. En pratique, pour recomposer 1 ms de flux, même sans qu’aucun de ces flux ne soit chiffré, il faudrait plusieurs années », explique Baptiste Polvé, co-fondateur et directeur technique de Snowpack.

Le réseau Snowpack est composé de nœuds (des serveurs) exploités par la start-up et déployés dans les locaux ou le cloud de ses clients et partenaires (le CEA, Altrnativ, le secteur de la Défense). Plus il y a de relais, plus le bruit augmente et brouille l’information.

Cette solution cache donc les détails de l’expéditeur, du destinataire et des itinéraires, et elle ne contient aucune donnée. Les utilisateurs sont anonymes au niveau du réseau et des applications. L’identité de l’utilisateur étant entièrement protégée, le commercial d’une entreprise d’aéronautique peut envoyer des informations sensibles depuis sa chambre d’hôtel, à l’autre bout du monde, sans risquer qu’un gouvernement local ou un hacker remonte ses communications.

« Il n’y a pas plus de latence qu’avec un VPN. Si l’on passe par trois ou quatre serveurs installés en Europe, elle est de 60 millisecondes, dont 50 dues à la distance entre les serveurs, les 10 autres au code qui tourne sur nos serveurs. Sur ce dernier point, la latence devrait être considérablement réduite dans les prochains mois. Le maillage de nœuds permettra également de réduire la partie physique », précise Baptiste Polvé.

Cette solution est commercialisée sous différentes offres auprès principalement des entreprises de la Défense, de la cybersécurité et de l’investigation numérique. De nouvelles versions seront accessibles aux particuliers début 2022 et seront suivies de déclinaisons pour iOS et Android au cours de l’été 2022.