BLOG

La confidentialité est importante

Miniature de Lori MacVittie
Lori MacVittie
Publié le 28 novembre 2016
cher-john

De nos jours, les consommateurs se préoccupent de deux « P » : les performances et la confidentialité. Le premier est motivé par un monde de plus en plus mobile, une plateforme sur laquelle les ressources – mémoire, calcul et réseau – sont limitées. Ces derniers sont sensibilisés au plus haut point par des nouvelles sensationnelles de violations qui conduisent invariablement à l'envoi d'une de ces lettres (ou d'un de ces e-mails). Ce sont comme des lettres de « Cher John », et vous vous sentez tout aussi mal à l’intérieur lorsque vous en recevez une.

Les consommateurs veulent avoir l’assurance que les marques avec lesquelles nous interagissons font tout ce qu’elles peuvent pour garantir leur confidentialité et la sécurité de leurs données. Nous le voulons plus rapide, mais nous le voulons aussi plus sûr.

Aujourd’hui, la plupart des consommateurs ne sont pas vraiment familiarisés avec les protocoles sécurisés et la cryptographie. Mince, la plupart des informaticiens ne peuvent pas vous faire la différence entre eux. Mais ils n’ont pas besoin de comprendre que certains chiffrements ne sont pas sécurisés (ni même comment les chiffrements sont liés au HTTP sécurisé en premier lieu), comment fonctionne la confiance des autorités de certification ou comment fonctionnent réellement les attaques de l’homme du milieu. Tout ce qu’ils ont besoin de savoir, c’est que vous faites tout ce que vous pouvez pour vous assurer qu’aucun homme ne s’immisce dans leurs transactions sécurisées et que personne ne surveille chaque lettre qu’ils tapent.

Entrez PFS. Confidentialité de transmission parfaite.

PFS, bien sûr, n'est pas un chiffrement ou un algorithme, mais plutôt une méthode de gestion des clés. Il s’appuie sur des clés éphémères (c’est-à-dire jetables) qui sont générées une et une seule fois par session. Dans le contexte de la sécurité des applications, cela est devenu important après la divulgation de Heartbleed, car il est devenu possible de « voler » des clés privées et potentiellement de décrypter des transactions.

Le PFS ressemble beaucoup à un code d'accès unique, par personne, pour une fête. Plutôt que tout le monde utilise le même mot de passe, chaque personne obtient son propre mot de passe personnel et privé que vous seul, en tant qu'hôte, pouvez valider comme authentique. Cela signifie que même si Bob partage son mot de passe avec Alice, vous savez qu'elle n'a pas été invitée car elle réutilise un mot de passe.

joyeux pfs

La mécanique n’est pas aussi importante que l’assurance qu’elle fournit aux consommateurs que vous prenez au sérieux la protection de la confidentialité de leurs données.  Considérez une enquête menée en 2016 par l’Institut Baymard sur le sujet . Parmi les raisons invoquées pour l'abandon lors du paiement, 18 % ont déclaré qu'ils « ne faisaient pas confiance au site avec leurs informations de carte de crédit ». La même enquête a testé la perception de la confiance de divers « sceaux » apposés sur les sites et a noté avec surprise qu’en 2016, les sceaux inspirant le plus « confiance » étaient les sceaux de confiance , et non les sceaux SSL . Ces sceaux n’étaient pas non plus nécessairement conformes aux normes industrielles ou reconnus. Beaucoup d’entre eux n’étaient qu’une simple représentation emblématique des efforts déployés par l’entreprise pour garantir la sécurité des données et des transactions des consommateurs.

Perfect Forward Secrecy (PFS) est une méthode technique qui offre une plus grande sécurité aux transactions en raison de sa nature « personnelle ». En adoptant PFS et en faisant savoir aux consommateurs que vous avez pris des mesures pour accroître la sécurité des transactions grâce à la technologie, vous suscitez un plus grand degré de confiance et réduisez potentiellement l’impact négatif de l’abandon sur les résultats.

La crainte du côté des entreprises est bien sûr que l’amélioration de la sécurité se fasse souvent au détriment d’une diminution des performances. Après tout, générer des clés par session peut être éprouvant pour l’infrastructure et application. Le résultat est souvent des applications plus lentes qui sont tout aussi frustrantes pour les consommateurs et entraînent également une perte de revenus.

Pour lutter contre ce problème, il est recommandé de mettre en œuvre PFS avec le service approprié, en amont des serveurs et offrant une plus grande évolutivité et des performances supérieures, car il est spécialement conçu pour gérer les calculs cryptographiques exigeants nécessaires pour assurer la sécurité des consommateurs. Ces services de sécurité spécialement conçus sont conçus pour tirer parti du matériel spécialisé (à la fois personnalisé et commercial) qui accélère les calculs et améliore les performances pour garantir aux consommateurs une expérience plus sûre et plus rapide.

Le PFS est un bon moyen de protéger non seulement les consommateurs, mais également les actifs des entreprises. Cela augmente le coût d’obtention d’informations privées et fait de vous une cible moins attrayante pour les attaquants, tout en assurant simultanément aux consommateurs que vous vous souciez suffisamment de la sécurité de leurs données personnelles et privées pour utiliser la dernière technologie pour les garder personnelles et privées.

La confidentialité est importante, mais les performances aussi. La sécurité ne doit pas nécessairement se faire au détriment de la vitesse. Les performances peuvent être maintenues même en adoptant des normes de sécurité plus élevées si des précautions et une attention particulière sont prises lors de leur mise en œuvre pour sélectionner les bons services, dans le bon emplacement architectural.