Envelope Encryption : définition
L’Envelope Encryption, appelée en français chiffrement par enveloppe, est un modèle cryptographique dans lequel les données opérationnelles sont chiffrées à l’aide d’une clé de données à usage unique ou renouvelée périodiquement, tandis que cette clé de données est ensuite elle-même chiffrée avec une clé maîtresse distincte. En pratique, cela signifie que la protection du contenu est dissociée de la protection de la clé ayant servi à le chiffrer. Ce modèle est utilisé dans les systèmes qui traitent de gros fichiers, notamment des photos et des vidéos contenant des visages et des plaques d’immatriculation.
Dans la littérature technique, cela correspond à la combinaison d’un chiffrement symétrique des données avec un mécanisme de key wrapping, ou avec l’usage de la cryptographie asymétrique pour protéger la clé de données. Le NIST décrit le key wrapping dans la publication SP 800-38F de 2012, et la gestion du cycle de vie des clés dans la SP 800-57 Part 1 Rev. 5 de 2020. En environnement de production, les données sont le plus souvent chiffrées avec l’algorithme AES, et la clé de données est protégée au moyen d’une clé stockée dans un KMS ou un HSM, ou encore à l’aide de la cryptographie asymétrique.
Dans le contexte de l’anonymisation des photos et des vidéos, le chiffrement par enveloppe ne remplace ni le floutage des visages ni le masquage des plaques d’immatriculation. Il remplit une autre fonction. Il protège les fichiers source, les fichiers intermédiaires, les exports ainsi que les clés utilisées pendant le traitement. Il est particulièrement important lorsque l’organisation doit limiter le risque d’accès non autorisé aux enregistrements avant l’anonymisation, pendant le traitement et après son achèvement.
Comment fonctionne le chiffrement par enveloppe dans le traitement des photos et des vidéos
Le mécanisme est simple sur le plan conceptuel, mais les détails opérationnels sont essentiels. Pour chaque fichier ou lot de fichiers, le système génère une clé de données. Cette clé sert à chiffrer l’image, l’enregistrement ou l’archive de sortie. Ensuite, la clé de données est chiffrée avec une clé maîtresse. La clé de données chiffrée, l’identifiant de la clé maîtresse utilisée ainsi que les paramètres nécessaires au déchiffrement, par exemple un nonce ou un IV, sont ensuite associés au fichier ou à l’enregistrement de métadonnées.
Dans un système d’anonymisation de contenus visuels, ce flux se présente généralement comme suit :
- le fichier d’entrée est stocké dans un espace de stockage chiffré,
- pendant le traitement, un accès contrôlé aux données déchiffrées est mis en place,
- le modèle d’IA détecte les visages et les plaques d’immatriculation,
- le résultat de l’anonymisation est enregistré sous la forme d’un nouveau fichier, lui aussi chiffré,
- les clés de données des versions d’entrée et de sortie peuvent être différentes,
- la rotation de la clé maîtresse n’exige pas de rechiffrer l’ensemble des fichiers, mais seulement de reprotéger les clés de données.
Ce dernier point constitue le principal avantage de l’architecture par enveloppe pour de grands volumes de données vidéo. Rechiffrer des téraoctets de contenus serait coûteux sur les plans informatique et opérationnel. Le fait de reprotéger uniquement les clés de données est nettement plus rapide.
Le rôle du chiffrement par enveloppe dans l’anonymisation des photos et des enregistrements
Dans un processus d’anonymisation visuelle, on rencontre au moins deux types de risques. Le premier concerne une détection erronée ou incomplète des visages et des plaques d’immatriculation. Le second concerne la divulgation du contenu avant anonymisation, ou l’accès à la version source après l’export. Le chiffrement par enveloppe traite ce second volet.
En pratique, cela signifie que même si un fichier est copié depuis un référentiel ou un support de sauvegarde, il reste illisible sans accès à la clé maîtresse correcte et aux métadonnées cryptographiques. Pour le délégué à la protection des données, il est important de noter que cette mesure soutient le principe de confidentialité et d’intégrité prévu à l’article 5, paragraphe 1, point f, du RGPD, ainsi que la sécurité du traitement visée à l’article 32 du RGPD. Le chiffrement seul ne rend toutefois pas les données anonymes. Conformément à l’approche du CEPD et des autorités de contrôle, il s’agit d’une mesure de sécurité, et non d’une technique d’anonymisation.
Éléments techniques clés et paramètres
L’évaluation de la qualité d’un déploiement ne devrait pas se limiter à constater que les données sont chiffrées. Les algorithmes, les longueurs de clé, la manière de générer l’aléa ainsi que le modèle de gestion des clés ont tous leur importance.
Élément | Solution typique | Importance pratique
|
|---|---|---|
Algorithme de chiffrement des données | AES-256-GCM | Confidentialité et intégrité dans un même mode AEAD. NIST SP 800-38D, 2007. |
Clé de données | DEK - Data Encryption Key | Chiffre un fichier, un segment ou un lot de données précis. |
Clé maîtresse | KEK ou CMK | Sert à protéger la DEK. Elle devrait être protégée dans un KMS ou un HSM. |
Encapsulation de clé | AES Key Wrap | Mécanisme normalisé de protection des clés. NIST SP 800-38F, 2012. |
Aléa | CSPRNG | Critique pour la sécurité des nonce, IV et clés. |
Rotation des clés | Périodique ou événementielle | Limite les effets d’une compromission de clé et facilite la gestion du cycle de vie des clés. |
Exemples d’indicateurs et d’attributs à évaluer dans un système de traitement de photos et de vidéos :
- temps de déchiffrement et de mise à disposition du fichier pour traitement, généralement mesuré en ms ou en s par fichier,
- surcharge de stockage : métadonnées, tag d’authentification, DEK chiffrée,
- temps de rotation de la clé maîtresse, dépendant du nombre d’opérations de reprotection des clés,
- RPO et RTO pour la récupération des clés après incident,
- nombre de personnes et de rôles disposant d’un accès au déchiffrement du contenu source,
- niveau d’isolation entre l’environnement de production, l’environnement de test et les sauvegardes.
Si le système utilise AES-GCM, il faut garantir l’unicité du nonce pour une clé donnée. Le non-respect de cette règle peut entraîner une perte de sécurité. Il s’agit d’une exigence technique, pas d’une simple option de configuration.
Application pratique dans un environnement on-premise
Dans les environnements on-premise, fréquents lorsque l’on travaille avec des contenus sensibles, le chiffrement par enveloppe facilite la séparation des responsabilités. Le serveur applicatif peut traiter les fichiers, mais la clé maîtresse reste en dehors de celui-ci, par exemple dans un HSM ou un KMS dédié. Ainsi, la compromission d’un composant n’implique pas nécessairement un accès immédiat à l’intégralité du contenu des enregistrements.
Dans le cas de Gallio PRO, cela est important pour organiser une circulation sécurisée des fichiers. Le logiciel masque automatiquement les visages et les plaques d’immatriculation, mais il n’anonymise pas les autres catégories de données visibles dans le contenu. La protection des fichiers source et des copies de travail est donc particulièrement importante. Le chiffrement par enveloppe peut protéger les contenus avant traitement, après traitement et dans les archives. Cela ne modifie pas le périmètre des fonctions de détection du système : les logos, tatouages, badges nominatifs, documents ou images affichées sur des écrans de moniteurs ne sont pas détectés automatiquement et nécessitent des actions manuelles dans l’éditeur.
Limites et erreurs les plus fréquentes
Le chiffrement par enveloppe est un modèle éprouvé, mais sa mise en œuvre est parfois incorrecte. Dans ce cas, les bénéfices théoriques ne se traduisent pas en sécurité réelle.
- stockage de la clé maîtresse sur le même serveur que les fichiers chiffrés,
- absence de rotation des clés et de procédure de retrait de clé après un incident,
- utilisation de modes obsolètes sans authentification, par exemple CBC seul sans protection supplémentaire de l’intégrité,
- mauvaise gestion du nonce ou de l’IV,
- traiter le chiffrement comme un substitut à l’anonymisation,
- laisser des fichiers temporaires et des caches non chiffrés pendant le traitement vidéo.
Il faut également distinguer la sécurité cryptographique de l’efficacité de l’anonymisation. Même un contenu parfaitement chiffré peut, une fois déchiffré, continuer à contenir des données à caractère personnel visibles si la détection des visages ou des plaques d’immatriculation a été incomplète.
Références normatives et sources
Les documents ci-dessous sont les plus souvent cités lors de la conception et de l’audit de ce type de solution. Il s’agit de sources techniques et réglementaires, et non de commentaires marketing.
- NIST SP 800-38D, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC, 2007.
- NIST SP 800-38F, Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping, 2012.
- NIST SP 800-57 Part 1 Rev. 5, Recommendation for Key Management, 2020.
- FIPS 197, Advanced Encryption Standard (AES), mise à jour rédactionnelle 2023, publication initiale 2001.
- RGPD - Règlement (UE) 2016/679, article 5 et article 32.
- ENISA, documents relatifs à la pseudonymisation et aux mesures cryptographiques en protection des données, utilisés à titre complémentaire pour l’évaluation des mesures techniques.
Sur le plan terminologique, on rencontre deux pratiques. L’une distingue la DEK et la KEK comme deux rôles de clés distincts. L’autre utilise des dénominations dépendant du fournisseur, par exemple data key et customer managed key. La différence est essentiellement terminologique, tant que l’architecture conserve la même séparation des fonctions.