Ces jeunes pousses qui veulent réenchanter le chiffrement

EnVeil avait été classé second de l’Innovation Sandbox de l’édition 2017 de RSA Conference. Sa spécialité ? Le chiffrement homomorphe, une technique qui doit permettre de traiter et analyser des données sans avoir à les déchiffrer au préalable.

Cette année, parmi les finalistes on trouvait Duality Technologies, misant lui aussi sur cette technique. Il faut dire que la promesse est alléchante. Bruno Grieder, directeur technique de Cosmian, et l’un des trois co-fondateurs, explique ainsi qu’avec cette technique, « on peut exécuter n’importe quel algorithme, y compris des choses non linéaires, pour récupérer un résultat chiffré ».
Le cas d’usage le plus évident n’est autre que le SaaS confidentiel. D’où, sans surprise, l’intérêt de spécialistes du domaine, comme Microsoft, pour le chiffrement homomorphe, et des travaux de recherche nombreux, au point que l’on parle désormais de « 4^e génération de systèmes homomorphes ». Mais la technique ne va pas sans certains défis.

Bruno Grieder souligne un double problème : « l’expansion, en raison de tout le bruit ajouté à la donnée, et la consommation de ressources de calcul, en particulier avec les multiplications ». Richard Rodrigues, chef de produit de Ravel Technologies, ne dit pas autre chose. C’est d’ailleurs ce qui a motivé la création de cette jeune pousse : « chercher des voies d’amélioration pour une technique alors peu industrialisable ».

Mais après « un travail de fond sur une petite année, sur les aspects théoriques », il revendique le développement d’un algorithme « bien plus efficace que l’état de l’art actuel », dit RHE, présenté comme significativement plus performant que Microsoft SEAL, IBM HElib ou encore FV-NFLlib. Pour Richard Rodrigues, Ravel Technologies dispose là de la base qui doit lui permettre de développer des produits génériques, comme des bases de données en mode service, avant de venir les intégrer clefs en main pour des secteurs d’activité spécifique. Mais pas de doute, c’est bien le monde du cloud qui est visé, notamment pour des secteurs réglementés qui peinent à y passer, que ce soit pour des questions de sécurité ou de souveraineté.

Chez Cosmian, Bruno Grieder évoque d’autres approches, qu’il estime également intéressantes, à commencer par le HEAAN et TFHE. Aux manettes de ce dernier, on trouve notamment l’université de Versailles-Saint-Quentin-en-Yvelines, celle de Louvain, ou encore Gemalto. Pour Bruno Grieder, TFHE constitue « une grosse boîte à outils qui permet de développer des applications très spécialisées et assez efficaces ». Mais il évoque une autre difficulté du chiffrement homomorphe : la question de la preuve. À savoir, « comment celui qui opère le traitement, notamment dans le cloud, peut-il prouver que ce qu’il renvoie est bien le résultat du calcul demandé ? » Le sujet fait lui aussi l’objet de recherches, et Cosmian a récemment recruté Anca Nitulescu, qui a notamment travaillé dessus.

Sandrine Murcia, PDG de Cosmian, et également co-fondatrice, explique que la jeune pousse ne se limite pas au chiffrement homomorphe. Car suivant les cas d’usage, d’autres techniques peuvent s’avérer au moins aussi adaptées.

Cosmian mise ainsi également sur le chiffrement fonctionnel. Bruno Grieder souligne d’ailleurs un avantage : la France compte d’importants spécialistes du domaine. Et de décrire l’idée de base : « on chiffre les données avec une clé dont on peut en dériver une seconde dans laquelle est injectée une fonction. Cette clé permet d’opérer cette fonction sur les données chiffrées et uniquement celle-là ».

Le résultat est récupéré en clair. Mais il y a aussi des limites, cette fois-ci quant aux fonctions exécutables : à ce jour, elles doivent être linéaires. Toutefois, souligne Bruno Gieder, « beaucoup de problèmes pouvant apparaître non linéaires de prime abord s’avèrent en définitive linéarisables ». Parmi les domaines d’application, il entrevoit notamment le cas de datalakes dont la mise en œuvre buterait sur des questions de confidentialité, notamment liées à des contraintes réglementaires.

Et cela ne s’arrête pas là. Plus loin, Cosmian mise aussi sur le calcul multipartite sécurisé (SMPC, Secure Multi-Party Computation). Bruno Grieder explique : « il s’agit de pouvoir faire un calcul à plusieurs, même lorsque personne ne veut révéler ses données. Un cas d’usage typique est la lutte contre la fraude, lorsque l’on veut vérifier un cas suspect avec un concurrent. Avec le SMPC, aucun tiers de confiance n’est nécessaire ; les machines se parlent dans le cadre d’un calcul interactif et s’échangent des résultats intermédiaires chiffrés ». Cerise sur le gâteau, « il est possible de prouver formellement que ces échanges ne révèlent rien des données effectivement utilisées pour les traitements ». Bruno Grieder revendique là des prises de contact d’entreprises dans le cadre de leurs centres opérationnels de sécurité (SOC), en particulier chez les opérateurs d’importance vitale (OIV), « et de gros industriels ».

Dernière corde à l’arc de Cosmian, les enclaves sécurisées. Après un démarrage quelque peu poussif, l’intérêt semble décoller, notamment avec la création, cet été, d’un consortium visant à populariser leur utilisation. Microsoft, Amazon, IBM ou encore OVH en ont ouvert les vannes.

Mais pour Bruno Grieder, si « beaucoup s’en servent pour protéger des données », le plus intéressant est peut-être ailleurs : « protéger des algorithmes » et surtout « faire la jonction entre [ceux-ci] et des données confidentielles ». Par exemple, une jeune pousse souhaitant éviter la rétro-ingénierie de ses développements pourrait envoyer son code chiffré à un prospect ou un client, pour que celui-ci puisse le tester sur ses données, sans avoir à les exposer.