C’est fascinant de voir comment la sécurité peut reposer sur des idées simples et robustes. C’est le cas de Cloudflare, qui utilise un « mur » avec 100 lampes à lave et une caméra pour capturer l’aléatoire du monde physique et renforcer le chiffrement SSL/TLS. La clé : transformer des images imprévisibles en entropie de haute qualité pour générer des clés cryptographiques vraiment difficiles à deviner.

Cloudflare, fournit des CDN (Content Delivery Networks) pour que les données auxquelles nous accédons arrivent le plus rapidement possible sur nos appareils, et offre également des services de sécurité Internet aux entreprises et aux particuliers. On estime que 16 % du trafic Internet mondial transite par ses infrastructures.

Qu’est-ce que l’entropie ?

• L’entropie est une mesure de l’imprévisibilité. Plus une clé a d’entropie, plus il est difficile de la deviner ou de la reconstruire.
• Les ordinateurs sont déterministes : avec la même entrée, ils produisent toujours la même sortie. C’est pourquoi, à eux seuls, ils ne génèrent pas un « hasard » fort.
• Pour protéger les sessions HTTPS et les données, les systèmes utilisent des CSPRNG (générateurs de nombres pseudo-aléatoires cryptographiquement sûrs) qui ont besoin de graines imprévisibles. C’est là qu’intervient l’entropie physique.

Comment fonctionne le mur de lampes à lave

1. Capture physique du chaos
   Un mur avec 100 lampes à lave se trouve dans le hall du siège. Une caméra prend des images à intervalles réguliers. Les formes, les couleurs et les mouvements du « flux » sont chaotiques et irrépétables.
2. Numérisation et mélange
   Chaque image contient des millions de pixels avec des valeurs numériques. Ces données sont converties en bits aléatoires et combinées (mélangées) avec d’autres sources d’entropie du système d’exploitation pour renforcer l’imprévisibilité.
3. Ensemencement de CSPRNG
   L’entropie résultante alimente les CSPRNG qui dérivent du matériel cryptographique : clés de session, nonces et autres valeurs critiques dans l’établissement de connexions sécurisées.
4. Résilience et diversité
   Si quelqu’un passe devant la caméra ou modifie l’éclairage, cela ne « casse » pas le système : cela ajoute plus d’entropie. De plus, il existe des sources physiques alternatives dans d’autres bureaux (par exemple, des systèmes chaotiques comme des pendules doubles ou des mesures physiques contrôlées) pour éviter la dépendance à un mécanisme unique.

À quoi cela sert-il ?

• Établissement de connexions SSL/TLS sécurisées (HTTPS) : clés éphémères de session, handshakes et valeurs qui nécessitent un caractère aléatoire robuste.
• Renforcement général de l’écosystème de clés : plus d’entropie implique moins de probabilité de schémas prévisibles et d’attaques par prédiction.

Ce que cela représente pour une entreprise :

• Moins de risque cryptographique : de meilleures graines → des clés plus fortes → moins de probabilité d’attaques par prédiction ou réutilisation.
• Conformité renforcée : des pratiques alignées sur les normes de sécurité améliorent les audits et la confiance des clients.
• Évolutivité : les modèles hybrides (physique + SE) garantissent suffisamment de « carburant aléatoire », même en cas de pics de demande de clés.

La meilleure sécurité est celle qui est mise en œuvre. Chez InnoIT, nous la mettons en œuvre avec vous. On en parle ?