Qu'est-ce que Chiffrement au repos ?

Les données au repos désignent toutes les données stockées de manière persistante, par opposition aux données en transit (qui circulent sur un réseau) ou aux données en cours d’utilisation (traitées en mémoire). Le chiffrement au repos protège contre des menaces comme les disques volés, l’accès non autorisé aux bases de données, les bandes de sauvegarde compromises et les fuites de stockage cloud.

Le chiffrement au repos peut être implémenté à différents niveaux. Le chiffrement intégral du disque (comme BitLocker ou LUKS) chiffre tout ce qui se trouve sur un disque. Le chiffrement au niveau de la base de données (comme TDE) chiffre les fichiers de données de manière transparente. Le chiffrement au niveau de l’application chiffre les données avant qu’elles ne soient écrites dans un stockage, ce qui donne à l’application un contrôle total sur qui détient les clés.

La question décisive du chiffrement au repos est de savoir qui détient les clés. Si le même serveur qui stocke les données chiffrées héberge aussi les clés de déchiffrement, une compromission complète du serveur révèle tout. L’approche la plus robuste sépare entièrement la gestion des clés et le stockage des données, de sorte que la compromission du seul stockage ne suffise pas à lire les données.

Comment Vaulted utilise Chiffrement au repos

Vaulted offre par conception le chiffrement au repos. Les secrets sont chiffrés avec AES-256-GCM dans le navigateur avant d’être envoyés au serveur, puis stockés sous forme de texte chiffré dans Redis. La clé de chiffrement n’atteint jamais le serveur : elle vit exclusivement dans le fragment d’URL. Cela signifie que les données au repos dans Redis sont chiffrées avec des clés qui existent à un endroit totalement différent (le lien partagé). Cela crée une forte séparation entre le stockage chiffré et le matériau de clé.