Les solutions Cloud permettent de chiffrer des données lors du stockage, en transfert et en cours d'exécution. Ces solutions de Cloud proposent de nombreuses solutions pour le chiffrement des données au sein de leur écosystème, sous la forme soit de service payant ou inclus, soit de composant logiciel sous licence libre ou à code fermé.

Pour la mise en œuvre du chiffrement des données dans le Cloud, deux types de service ou composant sont proposés :
– les services ou composants de chiffrement : pour réaliser les opérations de chiffrement symétrique avec des clés secrètes ;
– les services ou composants de gestion de clés : pour assurer la gestion et le stockage des ces clés secrètes.

Les méthodes

La plupart des solutions de Cloud propose une ou plusieurs méthodes de chiffrement de données au repos, parmi les suivantes :

– chiffrement des données et gestion des clés opérés par vous-même (i.e. hors des services Cloud) ;
– chiffrement des données et gestion des clés entièrement opérés par les services du Cloud ;
– méthode hybride , e.g. soit seul le chiffrement des données est opéré par le Cloud, soit seule la gestion des clés est opérée par le Cloud.

Le sujet du chiffrement vous intéresse ? Découvrez l'expertise et l'accompagnement de Linagora pour votre entreprise.

Amazon AWS

Les services de chiffrement

Amazon S3 SSE Data Encryption Amazon S3 Server Side Encryption (SSE) permet de chiffrer ses données dans le Cloud Amazon AWS, selon trois types : SSE-S3, SSE-KMS et SSE-C. Avec le premier les clés de chiffrement sont gérées par Amazon S3, avec le deuxième les clés sont gérées avec AWS KMS, tandis qu'avec le troisième les clés sont gérées par l'utilisateur lui-même.
Amazon S3 Client-Side Data Encryption permet à l'utilisateur de chiffrer ses données directement depuis son propre datacenter, c'est-à-dire en On-Promise. Ensuite, les données chiffrées sont déposées sur les machines dans AWS. La clé maître de chiffrement peut être gérée et stockée soit côté serveur (dans AWS KMS), soit côté client. Lors du stockage de la clé côté, celle-ci n'est pas connue d'Amazon. En revanche, sa sécurité est directement liée à la sécurité des processus de l'utilisateur, et non celle de AWS.
AWS Encryption CLI : le SDK AWS Encryption CLI permet de réaliser les opérations de chiffrement/déchiffrement via des appels CLI depuis la ligne de commande ou depuis des scripts. L'algorithme proposé est l'AES 256 bits, avec le mode GCM. La gestion des clés maîtres peut être réalisée, au choix : depuis AWS KMS, depuis AWS CloudHSM, ou depuis son propre gestionnaire de clés.Divers langages sont supportés, tel que Python, sous GNU/Linux, Windows et MacOS.
Amazon S2N (Signal-to-Noise) est une implémentation du protocole TLS destinée à être simple d'utilisation, pour tous les utilisateurs des services AWS, tels que : Elastic Load Balancing (ELB), AWS Elastic Beanstalk, Amazon CloudFront, Amazon S3, Amazon RDS, et Amazon SES.

Gestion des clés de chiffrement

Afin d'utiliser ses services cryptographiques, Amazon AWS propose également plusieurs services de gestion des clés de chiffrement.

Amazon S3-Managed Encryption Keys : le service S3-Managed Encryption Keys permet de laisser AWS gérer lui-même les clés de l'utilisateur à sa place, sur le serveur. Ainsi cela requière d'attribuer sa confiance à Amazon.
Dans ce cas, il n'est pas possible d'accéder directement aux données, ni d'utiliser la clé pour chiffrer et déchiffrer les données. Les opérations sont automatiquement réalisées par AWS de façon transparente pour l'utilisateur, et selon les processus standards AWS.
AWS Key Management Service (KMS) permet de laisser AWS gérer lui-même les clés de l'utilisateur à sa place, avec le système de gestion de clés (KMS). L'utilisateur accède au KMS avec sa clé maître cliente (CMK, Customer Master Key) pour gérer ses clés applicatives. Ainsi cela requière d'attribuer sa confiance à Amazon et son service KMS.
Clés gérées par le client . Dans le cas où les clés sont gérées par le client, lorsque AWS nécessite une opération de chiffrement ou de déchiffrement, le client doit passer au service la clé adéquate. AWS ne stocke jamais la clé : seul l'utilisateur est responsable de la sécurisation et du stockage de ses clés.

Microsoft Azure

Les services de chiffrement

Azure Storage Service Encryption : le service de chiffrement du module Azure Storage permet de chiffrer et déchiffrer à la volée toutes les données devant être stockées de façon confidentielle.
Chiffrement côté client des objets blob Azure :le chiffrement des objets blob Azure peut être réalisé selon plusieurs périmètres (scopes) définis par l'utilisateur. Les clés de chaque périmètre peuvent être gérées – indépendamment les unes des autres – soit par le magasin de clés Microsoft, soit par le service Azure Key Vault ou Azure Key Vault HSM. Le chiffrement est basé sur l'algorithme AES-256.
Azure Container Registry (ACR) n'est pas un composant de chiffrement à part entièrement : il permet principalement de créer, de stocker et de gérer des images dans des registres de conteneur. En outre, ce module Azure Container Registry (ACR) permet de chiffrer ses données (i.e. les images de conteneur) en faisant appel à Azure Key Vault pour la gestion des clés.

Gestion des clés de chiffrement

Azure Key Vault et Azure Key Vault HSM permettent de gérer les clés de chiffrement pour les services de chiffrement proposés par Azure. Ainsi les clés peuvent être gérées via plusieurs interfaces (Portail, CLI et WS) :
Portail Azure . Les clés du Key Vault peuvent être gérées via le portail web Azure.
Azure CLI . Les clés du Key Vault peuvent être gérées via l'interface CLI en PowerShell.
Azure REST API . Les clés du Key Vault peuvent être gérées via l'API REST Azure.

Google Cloud

Les services de chiffrement Google Cloud se résument principalement à Google Tink pour Google Cloud Platform . Les données stockées dans Google Cloud Platform sont chiffrées à la volée avec l'algorithme AES-256. Les clés sont gérées de façon centralisée et protégées par les clés de chiffrement de clés (KEK). Google Tink est une bibliothèque cryptographique commune à tous les services Google Cloud nécessitant l'utilisation de la cryptographie. Cette bibliothèque Google Tink est certifiée FIPS 140-2.

Bon à savoir : l'algorithme AES est mis en œuvre principalement en mode GCM (Galois/Counter Mode), et parfois en mode CBC (Cipher Block Chaining) avec un code HMAC (Hashed Message Authentication Code).

Valentin BOUILLER et David CARELLA, Linagora .

Allez plus loin

Cet article fait partie d'une série de guides sur le chiffrement des données.

Comprendre le chiffrement homomorphe et ses schémas
Qu'est-ce que le protocole TLS et à quoi sert-il ?
Ce qu'il faut savoir sur le chiffrement des données
Chiffrement des données : conformité et bonnes pratiques
Quelles sont les solutions de chiffrement dans le Cloud ?