La faille Heartbleed découverte en 2014 sur le protocole OpenSSL a montré que même le chiffrement des données ne servait à rien si des vulnérabilités sur les serveurs permettaient d’accéder aux données en clair au moment où elles sont reçues ou déchiffrées. De plus aucun service n’est à l’abri de voir ses serveurs piratés ou perquisitionnés, donnant parfois accès aux données et aux conventions de chiffrement qui permettent d’obtenir la version en clair des contenus hébergés.
C’est donc pour ajouter une autre couche de sécurisation que MacLane Wilkison et Michael Egorov ont créé ZeroDB, un protocole de base de données (adapté de ZODB) qui permet de rendre le serveur aveugle aux données qu’il contient. Toutes les données stockées et indexées dans la BDD sont chiffrées, ainsi que toutes les requêtes envoyées par le client.
Le serveur se contente de stocker les données, alors que la partie logique est réalisée côté client. Les données sont structurées en arbres binaires où chaque nœud est chiffré par le client avec une clé inconnue par le serveur. Les objets référencés sont eux aussi chiffrés, et le serveur ne sait pas comment les objets sont organisés dans l’arbre, ni même s’ils appartiennent à une structure d’arbre. Lorsque le client réalise une requête, le serveur renvoie les nœuds qu’il traverse et peut fournir les objets chiffrés demandés en retour.
« Comparé à des bases de données traditionnelles, ce protocole demande des requêtes multiples pour réaliser une seule requête », préviennent les créateurs de ZeroDB, qui ont toutefois optimisé le processus pour minimiser le temps de latence.
« En séparant l’index de la base de données en morceaux qui sont chiffrés et stockés sur le serveur, ZeroDB est capable de fournir un chiffrement de bout en bout tout en conservant toutes les fonctionnalités que vous attendez d’une base de données moderne. Et c’est aussi plutôt rapide », promettent ainsi les auteurs qui viennent de rendre ZeroDB open-source. Ils fournissent en outre une implémentation en Python et bientôt un client JavaScript.
https://www.youtube.com/watch?v=73T_tBbgRFs&feature=youtu.be
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !