Pour protéger la confidentialité et l'intégrité des données transférées ou stockées, l'ISO et la Commission électrotechnique internationale (IEC) ont élaboré en commun une nouvelle norme qui définit les mécanismes de chiffrage authentifié produisant un niveau de sécurité optimum.

«Compte tenu de l'augmentation du volume des transactions électroniques impliquant des informations sensibles, telles que le transfert de données bancaires ou d'informations relatives à l’identité personnelle, cette norme répond à un besoin croissant d’exigences de sécurité de plus en plus rigoureuses», déclare M. Chris Mitchell, rédacteur de projet de la nouvelle norme ISO/IEC.

La norme ISO/IEC 19772, Technologies de l'information – Techniques de sécurité – Chiffrage authentifié, spécifie six méthodes de chiffrage (basées sur un algorithme de chiffrage par bloc) qui peuvent être employées pour garantir :

  • la confidentialité des données (protection contre la divulgation non autorisée des données);
  • l’intégrité des données (permettant aux destinataires de vérifier que les données n'ont pas été modifiées);
  • l’authentification de l'origine des données (aider les destinataires à vérifier l'identité des données).

La norme prend en considération les besoins spécifiques de sécurité associés à différentes opérations. Par exemple, alors que le chiffrage peut être employé pour empêcher l’interception illicite lors de l’échange de données, les codes d'authentification de message (MAC) ou les signatures numériques sont parfaitement indiqués pour protéger les données contre les modifications.

Certaines situations peuvent exiger une combinaison d’opérations, mais les combinaisons ne fourniront pas toutes les mêmes garanties de sécurité.

M. Mitchell explique: «il est de plus en plus admis depuis peu que l'utilisation du seul chiffrage (voire une combinaison non optimale de chiffrage et de MAC) peut présenter des failles dangereuses, comme l’ont récemment montré les attaques concrètes portées contre des applications de protocoles de sécurité d’usage courant tels qu'IPsec et SSH. Il y a ainsi d'excellentes raisons de penser qu'il est préférable de s’appuyer sur une méthode complète unique de protection des données.»

Les mécanismes spécifiés dans la norme ont été conçus pour maximiser le niveau de sécurité et permettre un traitement efficace des données pour des résultats optimaux.

La norme inclut des mécanismes qui peuvent être appliqués pour garantir l'intégrité des données même sans chiffrage (par exemple pour empêcher des modifications d’adresses de courrier électronique, de numéros de séquence, etc.).

«ISO/IEC 19772 donnera confiance aux utilisateurs dans la sécurité des données les concernant. Elle sera utile pour protéger l'information, mais également pour poursuivre le développement des transactions et activités commerciales en ligne, et d'autres applications faisant intervenir des données sensibles», conclut M. Mitchell.

La norme ISO/IEC 19772 a été préparée par le Comité technique mixte ISO/IEC JTC 1, Technologies de l'information, sous-comité SC 27, Techniques de sécurité des technologies de l'information. La norme est disponible auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées). Il est également possible de l’obtenir directement au Secrétariat central de l'ISO, au prix de 118 francs suisses, par l’intermédiaire de l'ISO Store ou en contactant le Département Marketing & Communication (voir colonne de droite).