Du chiffrement de bout en bout sur Gmail, ce n’est pas exactement une nouveauté. Depuis l’annonce en 2022 du support du protocole S/MIME et de la fonctionnalité de chiffrement coté client en février 2023, il est techniquement possible de disposer d’un chiffrement de bout en bout. Mais comme souvent quand il est question de chiffrement, l’une des question majeure est de savoir qui a accès aux clefs ? Et comment les distribuer de manière sécurisée aux utilisateurs ?
Gestion des clefs
L’offre existante nécessitait certains compromis. « Les partenaires proposaient des solutions de gestion des clefs (Key management system, KMS) en software as a service ou on premise. Le problème des offres Saas, c’est qu’elle nécessitent forcement une certaine confiance dans les partenaires. Ils peuvent accéder aux informations confidentielles du client. Les solutions on premise sont plus sécurisées. Mais elles impliquent la gestion d’un serveur, de sa configuration, et des coûts parfois importants. Notre approche est à mi chemin, en proposant une solution Saas qui garantit que seul le client puisse accéder aux clefs de chiffrement » explique à ZDNET Bruno Grieder, cofondateur de Cosmian.
Autre avantage du protocole S/MIME, il permet une grande interopérabilité entre les différents clients et solutions mails des utilisateurs. Seul prérequis : l’obtention d’un certificat dédié, que la société italienne Actalis offre gratuitement.
Avec cette annonce Cosmian se retrouve donc aux cotés d’acteurs français comme Thales et Stormshield, qui faisaient déjà parti des fournisseurs partenaires de Google pour le déploiement de gestion des clefs de chiffrement.
Chiffrement des échanges
Cosmian propose des technologies de chiffrement permettant d’assurer que seul le client final et le destinataire puissent accéder aux données chiffrées. Il s’agit de clés utilisées pour chiffrer les documents, flux et mails envoyés au travers de leurs solutions. Sur les plateformes cloud des grands fournisseurs américains comme Google ou Microsoft, Cosmian propose ainsi ses solutions Cosmian VM et Cosmian KMS afin de garantir la confidentialité des échanges.
La technologie de KMS s’appuie sur des technologies de « key wrapping » pour assurer la confidentialité. « Le système permet de générer une clef éphémère unique pour chiffrer chaque document, e-mail ou flux vidéo. Puis cette clef et le document sont ensuite envoyé vers le système de KMS, qui utilise une autre clef pour chiffrer et déchiffrer l’ensemble au besoin, sans que jamais la clef ne sorte du système » explique Bruno Grieder.
La promesse : des solutions qui assurent la confidentialité des données tout en étant entièrement hébergées dans le cloud.
Premiers pas
La solution est pour l’instant destinée principalement aux entreprises disposant de licences onéreuses. Pour la déployer sur des services Google par exemple, il faut être déjà client Entreprise Plus ou E5 chez Azure. Les abonnés peuvent ensuite choisir leur partenaire parmi la liste des fournisseurs agrées par le cloud provider pour mettre en place l’infrastructure nécessaire au chiffrement de bout en bout via le protocole S/MIME.
« Il faut donc à la fois souscrire à nos solutions, mais aussi disposer du niveau de licence nécessaire chez le fournisseur, ce qui est généralement plus onéreux. Mais on peut tout à fait envisager un nombre de licence réduites pour des usages dédiés à l’envoi de mails chiffrés. Et on peut espérer que dans les années à venir ces fonctions de chiffrement coté client soient ouvertes à des plans de licence moins chères » explique Bruno Grieder.
Parmi les clients visés par la société, la cofondatrice Sandrine Murcia évoque par exemple les cabinets d’avocats, mais aussi des fournisseurs de services managés qui veulent proposer une offre de mail chiffré à leur clients.
Tirer son épingle du jeu
Cosmian se positionne aujourd’hui sur le créneau stratégique du « confidential computing », un terme qui désigne les technologies permettant d’opérer des environnements sécurisés dans un cloud public. « Cela nous permet de proposer des solutions qui permettent de protéger les données des clients contre les effets de certaines lois extraterritoriales comme le Cloud Act ou le FISA. Et ce tout en leur permettant de continuer à travailler dans les environnements des acteurs cloud étrangers » résume Bruno Grieder. Si la solution est aujourd’hui disponible chez Google Cloud Platform et Azure, les deux fondateurs assurent finaliser sa disponibilité sur AWS, et chez des acteurs français du cloud.
« Ce qui nous limite, c’est la disponibilité chez le fournisseur cloud des dernières technologies de Confidential Computing comme celles proposées par Intel ou AMD. Tous ne sont pas encore équipés. Mais progressivement cela devrait se démocratiser » veut croire Bruno Grieder.
En attendant, la startup française profite de sa position auprès des grands acteurs américains qui cherchent des solutions pour ramener de la confiance dans leurs services. « Tout le monde voit ça d’un assez bon œil. Les grands fournisseurs cloud américains comme Azure sont même aujourd’hui assez clairs là dessus : les solutions de confidential computing permettent de protéger contre les lois extraterritoriales. Et donc ça les rend attractifs. Les clients ont aussi un intérêt à s’appuyer sur ces outils pour pouvoir continuer à profiter des fournisseurs cloud américains tout en limitant les risques pour leurs données. »