Skip to content

Une conception stocke la clé de chiffrement maîtresse dans la base de données même qu'elle protège. Quel est le problème, et la solution ?

Réponse courte

Si la clé réside avec le texte chiffré, quiconque vole la base obtient les deux ; le chiffrement ne protège donc rien — c'est une serrure avec la clé scotchée dessus. Les clés doivent être gérées dans un KMS ou HSM dédié, séparées des données, avec contrôle d'accès strict, rotation et séparation des tâches. Hacher la clé la rend à sens unique et inutile pour le déchiffrement, et stocker des copies supplémentaires au même endroit ne fait que multiplier l'exposition au lieu de la réduire.

C'est l'une des erreurs de conception cryptographique les plus courantes, et un bon révélateur en entretien : le candidat repère immédiatement l'agencement qui se sabote lui-même, ou bien il accepte « mais c'est chiffré » sans broncher.

Pourquoi co-localiser la clé ruine le chiffrement

Le chiffrement transforme un problème de confidentialité en un problème de gestion des clés. Toute la sécurité du schéma repose désormais sur le secret de la clé. Si vous stockez cette clé dans la base même qu'elle protège, alors toute fuite exposant les données expose aussi la clé. L'attaquant vole le texte chiffré et le moyen de le déchiffrer d'un seul coup. C'est un coffre dont la combinaison est inscrite sur la porte — le chiffrement devient cérémonie, non protection.

La solution : des clés séparées et gérées

Les clés appartiennent à un système de gestion de clés (KMS) dédié ou, pour la plus haute assurance, à un module matériel de sécurité (HSM) capable d'effectuer les opérations cryptographiques sans jamais exporter la clé. Ajoutez par-dessus :

  • Contrôle d'accès — seules des identités précises peuvent utiliser la clé, le tout journalisé et audité.
  • Séparation des tâches — ceux qui peuvent lire les données ne sont pas ceux qui administrent les clés.
  • Rotation — les clés changent selon un calendrier et après une exposition suspectée.
  • Chiffrement par enveloppe — les clés de données sont elles-mêmes chiffrées par une clé maîtresse dans le KMS, de sorte que la clé maîtresse ne touche jamais le magasin de données.

Pourquoi les mauvaises réponses sont fausses

« Rien, tant que la base est chiffrée » manque totalement le sujet — un chiffrement avec clé co-localisée n'est aucune protection. « Hacher la clé avant de la stocker » est une erreur de catégorie : le hachage est à sens unique, donc une clé hachée ne peut jamais déchiffrer les données ; le système se casse. « Stocker deux copies pour la redondance » optimise la disponibilité tout en doublant l'exposition du secret le plus sensible du système — exactement l'inverse de ce qu'il faut.

Ce que sonde l'examinateur

Il veut voir que vous comprenez que la gestion des clés est le cœur de la cryptographie, pas un détail après coup, et que vous optez pour un KMS/HSM avec séparation des tâches et rotation plutôt que de rationaliser un agencement fatalement défaillant.

Questions de suivi probables

  • Quelle est la différence entre un KMS et un HSM, et quand exigeriez-vous un HSM ?
  • Comment feriez-vous tourner cette clé maîtresse sans interruption ni perte de données ?
  • Qu'est-ce que le chiffrement par enveloppe et en quoi aide-t-il ici ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.