La sécurité dans l'éther





En 2006, lorsqu'Amazon a introduit Elastic Compute Cloud (EC2), il s'agissait d'un événement décisif dans la quête de transformer l'informatique en un utilitaire omniprésent, comme l'électricité. Soudainement, n'importe qui pouvait faire défiler un menu en ligne, sortir une carte de crédit et louer autant de puissance de calcul que nécessaire, en la payant à un taux fixe : initialement, 10 centimes de l'heure pour utiliser Linux (et, à partir de 2008, 12,5 cents par heure pour utiliser Windows). Ces systèmes fonctionneraient sur des machines virtuelles qui pourraient être créées et configurées en un instant, disparaissant tout aussi rapidement lorsqu'elles ne sont plus nécessaires. Au fur et à mesure que leurs besoins augmentaient, les clients pouvaient simplement mettre plus de pièces dans les compteurs. Amazon s'occuperait des problèmes tels que la maintenance du centre de données et du réseau. Les machines virtuelles fonctionneraient, bien sûr, à l'intérieur de vraies : les milliers de serveurs bourdonnants et clignotants regroupés dans les centres de données d'Amazon à travers le monde. Le service de cloud computing était efficace, bon marché et également accessible aux particuliers, aux entreprises, aux laboratoires de recherche et aux agences gouvernementales.

Mais cela représentait également une menace potentielle. EC2 a apporté aux masses quelque chose autrefois confiné principalement aux systèmes informatiques d'entreprise : l'ingénierie dans laquelle des programmes de type Oz appelés hyperviseurs créent et contrôlent des processeurs virtuels, des réseaux et des lecteurs de disque, dont beaucoup peuvent fonctionner sur les mêmes serveurs physiques. Des chercheurs en sécurité informatique avaient déjà montré que lorsque deux programmes s'exécutent simultanément sur le même système d'exploitation, un attaquant peut voler des données en utilisant un programme d'écoute pour analyser la façon dont ces programmes partagent l'espace mémoire. Ils ont avancé que les mêmes types d'attaques pourraient également fonctionner dans les clouds lorsque différentes machines virtuelles s'exécutent sur le même serveur.

La sécurité dans l

Cette histoire faisait partie de notre numéro de janvier 2010



  • Voir le reste du numéro
  • S'abonner

Dans l'immensité d'un environnement cloud, la possibilité qu'un pirate informatique puisse même trouver la proie visée sur un serveur spécifique semblait lointaine. Cette année, cependant, trois informaticiens de l'Université de Californie à San Diego et un du MIT sont allés de l'avant et l'ont fait. (voir Snooping Inside Amazon’s Cloud dans le diaporama ci-dessus). Ils ont embauché des machines virtuelles pour servir de cibles et d'autres pour servir d'attaquants et ont essayé d'héberger les deux groupes sur les mêmes serveurs dans les centres de données d'Amazon. Au final, ils ont réussi à placer des machines virtuelles malveillantes sur les mêmes serveurs que les cibles 40 % du temps, le tout pour quelques dollars. Bien qu'ils n'aient pas réellement volé de données, les chercheurs ont déclaré qu'un tel vol était théoriquement possible. Et ils ont démontré comment les avantages mêmes du cloud computing (facilité d'accès, prix abordable, centralisation et flexibilité) pouvaient engendrer de nouveaux types d'insécurité. Amazon a souligné que personne n'avait réussi à attaquer EC2 de cette manière et que la société avait désormais empêché ce type spécifique d'agression (bien que, naturellement, elle ne précise pas comment). Mais ce qu'Amazon n'a pas résolu, ce que personne n'a encore résolu, c'est le problème de sécurité inhérent à la taille et à la structure des clouds.

SNOOPING À L'INTÉRIEUR DU NUAGE D'AMAZON
Les chercheurs ont récemment trouvé un moyen de placer des machines virtuelles malveillantes sur les serveurs hébergeant des machines virtuelles attribuées aux victimes visées dans Elastic Compute Cloud d'Amazon, ce qui, selon eux, pourrait permettre à un attaquant de voler des données. Amazon affirme avoir depuis empêché ce genre d'attaque et que la menace de vol de données n'était que théorique. Voici comment les chercheurs ont procédé.
un. Les chercheurs ont embauché des machines virtuelles (VM) victimes à partir du cloud d'Amazon et ont noté les adresses IP des machines. Ils ont appris que s'ils achetaient plusieurs machines virtuelles à peu près en même temps, ces machines auraient des adresses IP similaires, indiquant qu'elles étaient probablement hébergées sur le même serveur.

L'informatique en nuage (programmes et services fournis sur Internet) modifie rapidement la façon dont nous utilisons les ordinateurs ( voir Briefing, juillet/août 2009 et Clouds, Ascending dans le diaporama ci-dessus) . Gmail, Twitter et Facebook sont toutes des applications cloud, par exemple. Les services d'infrastructure Web comme ceux d'Amazon, ainsi que les versions de fournisseurs tels que Rackspace, ont attiré des légions de clients entreprises et institutionnels attirés par leur efficacité et leur faible coût. La clientèle des services cloud d'Amazon comprend désormais le New York Times et Pfizer. Et le navigateur de Google et le prochain système d'exploitation (tous deux nommés Chrome) signifient de fournir un accès facile aux applications cloud.



Même les agences gouvernementales les plus lentes entrent dans l'action : la ville de Los Angeles utilise le service Google Apps pour la messagerie électronique et d'autres applications de routine, et la Maison Blanche a récemment lancé www.apps.gov pour encourager les agences fédérales à utiliser les services cloud. Les secteurs du transport aérien, de la vente au détail et de la finance sont des exemples de ceux qui pourraient bénéficier du cloud computing, explique Dale Jorgenson, économiste à Harvard et expert sur le rôle des technologies de l'information dans la productivité nationale. L'objectif de l'innovation informatique s'est déplacé du matériel vers les applications logicielles, dit-il. Beaucoup de ces applications se déroulent à un rythme effréné, et le cloud computing va être une excellente technologie de facilitation pour beaucoup de ces personnes.

deux. Ils ont réalisé que pour augmenter les chances de placer une VM malveillante sur le même serveur qu'une VM victime, ils devraient forcer une victime à louer une machine à un certain moment. Une façon de le faire, disent-ils, serait de bombarder le site Web de la victime de demandes, forçant la victime à augmenter sa capacité.

Bien sûr, rien de tout cela ne peut se produire si les services cloud ne sont pas sécurisés. Et ils ne sont pas



sans risque. Lorsque des milliers de clients différents utilisent le même matériel à grande échelle, ce qui est la clé de l'efficacité du cloud computing, toute panne ou piratage peut s'avérer dévastateur pour beaucoup. Aujourd'hui, vous avez ces énormes fournisseurs de cloud gigantesques avec des milliers et des milliers d'entreprises co-hébergées, explique Radu Sion, informaticien à l'Université d'État de New York à Stony Brook. Si tout le monde n'utilise pas le cloud, vous ne pouvez pas avoir un service bon marché. Mais lorsque tout le monde utilise les clouds, vous avez tous ces problèmes de sécurité que vous devez résoudre d'un coup.

Crises de nuages

Le cloud computing pose en fait plusieurs risques de sécurité distincts mais liés. Non seulement les données stockées pourraient être volées par des pirates ou perdues en raison de pannes, mais un fournisseur de cloud pourrait mal gérer les données ou être contraint de les abandonner en réponse à une assignation à comparaître. Et il est assez clair que de telles failles de sécurité ne relèvent pas uniquement d'expériences académiques. En 2008, un seul bit corrompu dans les messages entre les serveurs utilisés par Amazon Simple Storage Service (S3), qui fournit un stockage de données en ligne par gigaoctet, a forcé le système à s'arrêter pendant plusieurs heures. Début 2009, un pirate informatique qui a correctement deviné la réponse à la question de sécurité de la messagerie personnelle d'un employé de Twitter a pu récupérer tous les documents du compte Google Apps utilisé par l'employé. (Le pirate en a joyeusement envoyé certains aux médias.) Ensuite, un bogue a compromis les restrictions de partage imposées aux documents de certains utilisateurs dans Google Docs. Les distinctions ont été effacées ; toute personne avec qui vous avez partagé l'accès aux documents peut également voir les documents que vous avez partagés avec n'importe qui d'autre.

Et en octobre, un million de smartphones T-Mobile Sidekick ont ​​perdu des données après une panne de serveur chez Danger, une filiale de Microsoft qui a fourni le stockage. (Une grande partie des données a ensuite été récupérée.) En particulier avec les applications fournies via des clouds publics, la surface d'attaque est très, très élevée, explique Peter Mell, chef de l'équipe de sécurité du cloud au National Institute of Standards and Technology (NIST) à Gaithersburg, MD. Chaque client a accès à tous les boutons et widgets de cette application. S'ils ont une seule faiblesse, [un attaquant peut] avoir accès à toutes les données.



3. Comme la victime a embauché de nouvelles machines virtuelles pour gérer la demande supplémentaire, l'attaquant a également loué des machines virtuelles. En vérifiant les adresses IP, les chercheurs ont découvert que les victimes et les attaquants se retrouvaient sur les mêmes serveurs Amazon 40 % du temps.

À tout cela, la réponse générale de l'industrie du cloud est la suivante : les clouds sont plus sécurisés que tout ce que vous utilisez actuellement. Eran Feigenbaum, directeur de la sécurité pour Google Apps, affirme que les fournisseurs de cloud peuvent garder une longueur d'avance sur les menaces de sécurité bien plus efficacement que des millions de particuliers et des milliers d'entreprises qui exploitent leurs propres ordinateurs et salles de serveurs. Malgré tout le battage médiatique autour du problème de Google Docs, souligne-t-il, cela a affecté moins de 0,05 % des documents hébergés par Google. L'un des avantages du cloud était la capacité de réagir de manière rapide et uniforme à ces personnes qui ont été affectées, dit-il. Tout a été corrigé sans que les utilisateurs n'aient à installer de logiciel, sans aucune maintenance de serveur. Réfléchissez aux manières dont la sécurité peut être compromise dans les environnements traditionnels, ajoute-t-il : les deux tiers des répondants à une enquête ont admis avoir égaré des clés USB, dont beaucoup détenaient des données d'entreprise privées ; au moins deux millions d'ordinateurs portables ont été volés aux États-Unis en 2008 ; les entreprises peuvent mettre de trois à six mois pour installer des correctifs de sécurité urgents, souvent par crainte que les correctifs ne déclenchent de nouveaux problèmes. Vous ne pouvez pas obtenir une sécurité à 100 % tout en gérant la convivialité, dit-il. Si vous voulez un système parfaitement sécurisé, prenez un ordinateur, déconnectez-le de toute source externe, ne le mettez pas sur un réseau, éloignez-le de Windows. Enfermez-le dans un coffre-fort.

Mais tout le monde n'est pas aussi optimiste. Lors d'une conférence sur la sécurité informatique au printemps dernier, John Chambers, président de Cisco Systems, a qualifié le cloud computing de cauchemar en matière de sécurité qui ne peut pas être géré de manière traditionnelle. Lors du même événement, Ron Rivest, l'informaticien du MIT qui a inventé l'algorithme de cryptographie à clé publique RSA largement utilisé dans le commerce électronique, a déclaré que

le terme même Cloud computing pourrait mieux être remplacé par l'informatique des marais . Il a expliqué plus tard qu'il voulait dire que les consommateurs devraient examiner les allégations de sécurité de l'industrie du cloud : ma remarque n'avait pas pour but de dire que le cloud computing est vraiment un « calcul des marais », mais plutôt que cette terminologie a un moyen d'affecter nos perceptions et nos attentes. Ainsi, si l'on arrête d'utiliser l'expression Cloud computing et j'ai commencé à utiliser l'informatique des marais au lieu de cela, nous pourrions nous retrouver beaucoup plus curieux au sujet des services et des garanties de sécurité que nous offrent les « fournisseurs d'informatique de marais ».

Quatre. Une fois que les VM malveillantes se trouvaient sur le même serveur que les VM de la victime, les chercheurs ont pu montrer qu'ils pouvaient surveiller l'utilisation des ressources informatiques par la victime. Ils ont déclaré que le vol pur et simple de données serait également possible, bien qu'ils n'aient pas pris cette mesure.
Source : Ristenpart et al, 2009. Hey, you, get off my cloud : explorer les fuites d'informations dans les clouds de calcul tiers. Dans le Actes de la 16e conférence de l'ACM sur la sécurité informatique et des communications.

Un point de vue similaire, s'il est exprimé de manière moins colorée, anime un nouvel effort du NIST pour définir exactement ce qu'est le cloud computing et comment sa sécurité peut être évaluée. Tout le monde est confus à ce sujet, dit Peter Mell ; Le NIST en est à sa 15e version du document définissant le terme. La définition typique du cloud est suffisamment vague pour englober l'ensemble de l'informatique moderne existante, dit-il. Et essayer de résoudre des problèmes de sécurité uniques est problématique. Le NIST espère qu'identifier plus clairement ces problèmes aidera l'industrie à forger des normes communes qui garderont les données plus sécurisées. L'agence souhaite également rendre les clouds interopérables afin que les utilisateurs puissent plus facilement déplacer leurs données de l'un à l'autre, ce qui pourrait conduire à des gains d'efficacité encore plus importants.

Compte tenu de la croissance rapide de l'industrie, de l'obscurité de ses normes de sécurité actuelles et des comptes rendus anecdotiques de pannes, il n'est pas surprenant que de nombreuses entreprises voient encore de travers l'idée de mettre des données sensibles dans des clouds. Bien que la sécurité soit actuellement assez bonne, les fournisseurs de cloud devront prouver leur fiabilité sur le long terme, déclare Larry Peterson, informaticien à l'Université de Princeton qui dirige un banc d'essai Internet appelé PlanetLab Consortium. Le fournisseur de cloud peut avoir des mécanismes de sécurité appropriés, dit Peterson. Mais puis-je avoir confiance non seulement qu'il protégera mes données d'un tiers, mais qu'il n'exploitera pas mes données, et que les données seront là dans cinq ans, ou dans 10 ans ? Oui, il y a des problèmes de sécurité qui nécessitent votre attention. Mais la technologie elle-même ne suffit pas. La technologie ici peut être en avance sur le confort et la confiance.

Infrastructure cloud : De plus en plus de services informatiques sont fournis sur Internet. Derrière la technologie se trouvent d'énormes centres de données distants comme ces deux bâtiments de la taille d'un terrain de football que Google exploite à The Dalles, OR, illustrés lors de leur construction il y a quatre ans.

Dans un centre de données quelconque à Somerville, MA, juste à l'extérieur de Boston, se trouve un rappel tangible de la méfiance dont parle Peterson. Le centre appartient à une petite entreprise appelée 2N+1, qui offre aux entreprises un espace au sol réfrigéré, la sécurité, l'électricité et la connectivité. Au premier étage se trouve une collection d'une douzaine d'armoires noires pleines de serveurs. Vincent Bono, cofondateur de 2N+1, explique qu'il s'agit de la propriété de son premier client, une banque nationale. Elle a choisi de conserver ses propres serveurs plutôt que de louer un cloud. Et pour la sécurité, la banque a choisi le type tangible : une clôture en acier.

Crypter le Cloud

Les fournisseurs de cloud n'ont pas encore de clôture d'acier virtuelle à vous vendre. Mais au minimum, ils peuvent promettre de conserver vos données sur des serveurs, par exemple, aux États-Unis ou dans l'Union européenne, pour des raisons de conformité réglementaire ou pour d'autres raisons. Et ils travaillent sur des murs virtuels : en août, Amazon a annoncé son intention d'offrir un service de cloud privé qui assure un passage plus sécurisé des données d'un réseau d'entreprise vers les serveurs d'Amazon. (La société a déclaré que cette décision n'était pas une réponse aux recherches menées par le groupe de San Diego et du MIT. Selon Adam Selipsky, vice-président d'Amazon Web Services, le problème était simplement qu'il existe un ensemble de clients et une catégorie d'applications demandant des niveaux de sécurité encore plus améliorés que nos services existants fournis.)

Pendant ce temps, de nouvelles technologies de sécurité font leur apparition. Un groupe de Microsoft, par exemple, a proposé un moyen d'empêcher les utilisateurs d'un

machine sur un serveur en glanant des informations en surveillant l'utilisation de la mémoire cache partagée par une autre machine virtuelle sur le même serveur, ce que les chercheurs de San Diego et du MIT ont suggéré comme étant possible. Et les chercheurs d'IBM ont proposé un nouveau type de mécanisme de sécurité qui, essentiellement, fouillerait de nouvelles machines virtuelles lorsqu'elles entreraient dans le cloud. Le logiciel surveillerait chacun pour voir comment il fonctionne et assurerait son intégrité, en partie en explorant son code. Ces technologies pourraient être prêtes à être commercialisées d'ici deux ou trois ans.

NUAGES, ASCENDANT
L'informatique traditionnelle est complexe à déployer et entraîne des frais généraux élevés…
Évaluation du coût
Sources : Merrill Lynch

Mais assurer pleinement la sécurité du cloud computing relèvera inévitablement du domaine de la cryptographie. Bien entendu, les utilisateurs du cloud peuvent déjà crypter les données pour les protéger contre les fuites, le vol ou, peut-être surtout, la divulgation par un fournisseur de cloud confronté à une assignation à comparaître. Cette approche peut cependant être problématique. Les documents cryptés stockés dans un cloud ne peuvent pas être facilement recherchés ou récupérés, et il est difficile d'effectuer des calculs sur des données cryptées. À l'heure actuelle, les utilisateurs peuvent contourner ces problèmes en laissant leurs informations dans le cloud non cryptées (en clair) ou en retirant le matériel crypté dans la sécurité de leurs propres ordinateurs sécurisés et en les décryptant lorsqu'ils souhaitent travailler avec. En pratique, cela limite l'utilité des nuages. Si vous devez réellement tout télécharger et le remettre à son emplacement d'origine avant de pouvoir utiliser ces données, cela est inacceptable à l'échelle à laquelle nous sommes confrontés aujourd'hui, déclare Kristin Lauter, qui dirige le groupe de recherche en cryptographie chez Microsoft Research.

Les technologies de cryptage émergentes, cependant, pourraient protéger les données dans les nuages ​​même lorsque les utilisateurs les recherchent, les récupèrent et effectuent des calculs dessus. Et cela pourrait rendre le cloud computing beaucoup plus attrayant pour des secteurs tels que la banque et les soins de santé, qui ont besoin de sécurité pour les données sensibles des clients et des patients. Pour commencer, plusieurs groupes de recherche ont développé des moyens d'utiliser le cryptage hiérarchique pour fournir différents niveaux d'accès aux données cloud cryptées.

… mais les services de cloud computing sont très efficaces, ce qui explique en partie leur croissance rapide.
Projections mondiales des dépenses informatiques, en milliards
Sources : IDC

Un patient, par exemple, pourrait détenir un passe-partout pour son propre dossier médical électronique ; les médecins, les assureurs et autres pourraient se voir attribuer des sous-clés donnant accès à certaines parties de ces informations.

Idéalement, nous rendrions plus pratique le travail avec des données sensibles qui doivent être cryptées, telles que des dossiers médicaux, afin que les téléspectateurs non intentionnels ne puissent pas les voir si elles étaient exposées par un piratage ou un problème chez le fournisseur de cloud. Le thème général du cloud computing est que vous voulez pouvoir externaliser toutes sortes de fonctionnalités, mais vous ne voulez pas trahir votre vie privée - et vous avez besoin d'une cryptographie très polyvalente pour le faire, explique Craig Gentry, chercheur en cryptographie chez IBM. Centre de recherche Watson à Yorktown, NY. Il s'agira d'une cryptographie plus compliquée que celle que nous utilisons aujourd'hui.

Cependant, jusqu'à ce que les questions de confidentialité et de sécurité soient traitées, les entreprises continueront de réserver les services cloud aux tâches les moins sensibles.
Comment les services de cloud public sont utilisés
Sources : Groupe 451

Pour trouver et récupérer des documents cryptés, des groupes de l'Université Carnegie Mellon, de l'Université de Californie, de Berkeley et d'ailleurs travaillent sur de nouvelles stratégies de recherche qui commencent par marquer les fichiers cryptés basés sur le cloud avec des métadonnées cryptées. Pour effectuer une recherche, l'utilisateur crypte les chaînes de recherche à l'aide de fonctions mathématiques qui permettent aux chaînes de trouver des correspondances dans les métadonnées cryptées. Personne dans le cloud ne peut voir le document ou même le terme de recherche qui a été utilisé. Microsoft Research a récemment introduit une architecture théorique qui assemblerait plusieurs technologies cryptographiques pour rendre le cloud crypté plus consultable.

Le problème de savoir comment manipuler des données chiffrées sans les déchiffrer, quant à lui, a bloqué les chercheurs pendant des décennies jusqu'à ce que Gentry fasse une percée au début de 2009. Bien que les calculs sous-jacents soient un peu épais, la technique de Gentry consiste à effectuer des calculs sur les données chiffrées à l'aide d'un objet mathématique appelé réseau idéal. Dans son schéma, tout type de calcul peut être effectué sur des données cryptées de manière sécurisée dans le cloud. Le cloud diffuse ensuite les réponses calculées – sous forme cryptée, bien sûr – pour que les utilisateurs puissent les décoder en dehors du cloud. L'inconvénient : le processus consomme d'énormes quantités de puissance de calcul, ce qui le rend impraticable pour les nuages ​​pour le moment. Je pense qu'il faut le reconnaître pour ce qu'il est, déclare Josyula Rao, responsable de la sécurité chez IBM Research. C'est comme le premier vol dont les frères Wright ont fait la démonstration. Mais, dit Rao, des groupes d'IBM et d'ailleurs s'efforcent de rendre les nouveaux algorithmes de Gentry plus efficaces.

Risques et avantages

Si le cloud computing devient suffisamment sécurisé pour

être utilisé à son plein potentiel, des problèmes nouveaux et troublants peuvent survenir. D'une part, même les nuages ​​à l'abri des pirates informatiques ordinaires pourraient devenir des points centraux de contrôle d'Internet, prévient Jonathan Zittrain, cofondateur du Berkman Center for Internet and Society de Harvard et auteur de L'avenir d'Internet et comment l'arrêter . Les régulateurs, les tribunaux ou les responsables gouvernementaux trop exigeants pourraient les considérer comme des endroits pratiques pour réglementer et censurer, dit-il.

De plus, les fournisseurs de cloud eux-mêmes pourraient sévir contre les clients si, par exemple, les titulaires de droits d'auteur faisaient pression pour arrêter l'utilisation de logiciels de partage de fichiers. Pour moi, dit Zittrain, le plus gros problème dans la sécurité du cloud n'est pas la situation de Sidekick où Microsoft perd vos données. Plus inquiétant pour lui, c'est la capacité accrue du gouvernement à obtenir vos affaires, et moins de protections constitutionnelles contre cela ; la capacité accrue du gouvernement à censurer ; et une capacité accrue pour un fournisseur ou un gouvernement de contrôler l'innovation et d'écraser les choses vraiment perturbatrices.

Zittrain craint également que si les nuages ​​dominent notre utilisation de l'informatique, ils peuvent se transformer en le genre de jardins clos qui caractérisaient Internet au milieu des années 90, lorsque des sociétés telles que Compuserve, Prodigy et AOL fournissaient des menus limités de nouveautés en ligne telles que des actualités. , commerce électronique et courrier électronique à hoi polloi. Une fois que les gens choisissent un cloud et des applications qu'ils aiment, dit-il – Google Apps, par exemple – ils peuvent constater qu'ils ont un accès limité à d'excellentes applications dans d'autres clouds, tout comme les utilisateurs de Facebook ne peuvent pas se connecter avec des personnes sur MySpace.

Mais de telles inquiétudes n'arrêtent pas l'ascension du cloud. Et si la sécurité du cloud est assurée, les avantages pourraient être stupéfiants. Il y a une quantité épouvantable d'informatique et de gestion de bases de données où le cloud computing est clairement pertinent, déclare Dale Jorgenson de Harvard. Imaginez si les référentiels en ligne émergents d'aujourd'hui pour les données de santé personnelles, tels que Google Health et Microsoft HealthVault, pouvaient se connecter au nombre croissant de systèmes de dossiers électroniques dans les hôpitaux d'une manière qui protège les données privées à tout moment. Le mégacloud médical résultant pourrait diffuser les applications existantes à moindre coût et efficacement à tous les coins de la profession médicale. Les médecins pourraient facilement comparer les IRM des patients, par exemple, avec celles d'autres patients à travers le pays, et puiser dans de vastes bases de données pour analyser l'efficacité des traitements et des mesures de prévention. (voir Prescription : Networking, novembre/décembre 2009) . Le potentiel y est énorme, car il y a quelques transformations qui peuvent se produire en médecine dans un avenir proche à partir de vastes collections de dossiers médicaux, explique Ian Foster, un informaticien qui dirige l'Institut de calcul du Laboratoire national d'Argonne et de l'Université de Chicago. . Aujourd'hui, souligne-t-il, les individus exigent l'accès à leurs propres informations médicales tandis que les institutions médicales recherchent de nouvelles sources de données génomiques et autres. Les deux, ensemble, peuvent être alimentés par un partage d'informations à grande échelle, dit-il. Et peut-être que vous pouvez le faire dans le cloud. Mais il a des problèmes de sécurité particulièrement difficiles.

Ce n'est pas la première fois qu'une nouvelle technologie de l'information offre des avantages considérables tout en augmentant des risques de sécurité potentiellement intolérables. L'avènement de la radio a posé des problèmes similaires il y a un siècle, explique Whitfield Diffie, l'un des pionniers de la cryptographie à clé publique, qui est maintenant professeur invité au Royal Holloway College de l'Université de Londres. La radio était tellement plus flexible et puissante que ce qu'elle remplaçait - le télégraphe - que vous eu l'adopter pour survivre dans les affaires ou à la guerre. Le hic, c'est que la radio peut être captée par n'importe qui. Dans le cas de la radio, des technologies de cryptage et de décryptage rapides et automatisées ont remplacé les encodeurs humains lents, la rendant suffisamment sûre pour tenir sa promesse. Les nuages ​​connaîtront une évolution similaire. Les nuages ​​sont des systèmes, déclare Peter Mell du NIST. Et avec les systèmes, vous devez réfléchir sérieusement et savoir comment gérer les problèmes dans cet environnement. L'échelle est tellement plus grande et vous n'avez pas le contrôle physique. Mais nous pensons que les gens devraient être optimistes quant à ce que nous pouvons faire ici. Si nous sommes intelligents pour déployer le cloud computing avec une idée claire de ce que sont les modèles de risque, peut-être que nous pouvez sauver l'économie grâce à la technologie.

David Talbot est Examen de la technologie correspondant en chef de.

cacher