Dropbox est l’un de mes services Web favoris. Il synchronise automatiquement tous mes fichiers partout. Jusqu’à maintenant, ce service a toujours bien fonctionné. Récemment, un incident a terni la réputation de ce service et secoué les aficionados du «cloud computing».

Une erreur de programmation a ouvert tous les comptes des usagers de Dropbox pour une période de 4 heures. En clair, il suffisait uniquement de saisir l’adresse mail d’un utilisateur pour ouvrir une session sur Dropbox. Le mot de passe était «optionnel», les comptes étaient ouverts aux quatre vents.

Évidemment, cette erreur de Dropbox est inexcusable et soulève plusieurs questions.

  • Devons-nous sacrifier la sécurité au profit de la facilité d’utilisation?
  • Est-ce que les fournisseurs de services offrent suffisamment d’options pour renforcer la sécurité des comptes d’utilisateurs?
  • Devons-nous chiffrer nous-mêmes nos fichiers sensibles?
  • Doit-on déposer des documents sensibles ou confidentiels sur les services Web?

Aucune solution n’est parfaite, y compris l’hébergement des données sur votre serveur. Si vous faites le choix d’héberger vos données chez un fournisseur de service Web, informez-vous de sa réputation. Ensuite, avez-vous développé votre propre politique de sécurité sur le partage de documents et le type de fichier qui pourrait être envoyé sur un service Web? Précisez le plus possible votre démarche avant d’adhérer à ce type de service. Vous serez plus en contrôle et il sera plus facile de faire face aux problèmes.

Devons-nous sacrifier la sécurité au profit de la facilité d’utilisation?
Revenons sur le cas de Dropbox. En avril dernier, un autre incident a ébranlé les utilisateurs de ce service. Une petite modification sur le contrat de conditions d’utilisation a lancé une polémique. Elle concernait la clé de chiffrement et la façon de chiffrer et déchiffrer les documents présents sur les comptes. En gros, Dropbox avait la possibilité de consulter les fichiers des utilisateurs si les autorités américaines le demandaient.

De plus, Drobox a sacrifié une partie de la sécurité au profit d’une plus grande facilité d’utilisation. Ce point est à mon avis valable, il permet au consommateur de plus facilement avoir accès aux fonctionnalités avancées de Dropbox. Par contre, Dropbox devrait permettre de mieux sécuriser les comptes. Il suffirait d’offrir plusieurs niveaux de sécurité comme le fait Google. Donc, devons-nous sacrifier la sécurité au profit de la facilité d’utilisation? Dans certains cas oui, mais les clients doivent toujours avoir la possibilité de renforcer la sécurité s’ils le désirent.

Est-ce que les fournisseurs de services offrent suffisamment d’options pour renforcer la sécurité des comptes utilisateurs?
Tous les services Web ne sont pas égaux. Par exemple, les clients de Google ont accès à plusieurs fonctionnalités qui permettent de renforcer la sécurité des comptes. Par exemple, il est possible de paramétrer les droits d’accès et niveau de sécurité d’une synchronisation mobile et d’activer la validation en deux étapes.

La validation en deux étapes est particulièrement intéressante. Une fois activé, pour accéder à votre compte, en plus de votre mot de passe, vous devez utiliser un jeton de sécurité unique. Les niveaux de sécurité multiples devraient être offerts par tous les fournisseurs de service.

Devons-nous chiffrer nous-mêmes nos fichiers sensibles?
Tout dépend du type de document et de votre niveau de tolérance aux risques. Si vous le désirez, vous pouvez utiliser une solution comme TrueCrypt. Ce service gratuit chiffrera vos dossiers et répertoires sensibles.

Malgré toutes les précautions que vous pouvez prendre, n’oubliez pas de choisir un mot de passe long et complexe. Je reviendrai sur ce sujet, je viens tout juste de me faire hacker un compte mail que j’utilisais uniquement pour faire des tests. De votre côté, quelles sont vos stratégies pour sécuriser vos fichiers sur le Web?
Benoit Descary

6 COMMENTAIRES

  1. Bonsoir,
    J’ai utilisé Dropbox pendant un bon moment. Actuellement, j’utilise Wuala (depuis presque 1 mois). Il chiffre les fichiers SUR le PC et Wuala ne peut pas obtenir notre mot de passe (d’après ce que j’ai compris). C’est plus intéressant qu’avec Truecrypt parcequ’on peut continuer à accéder aux fichiers à partir d’un smartphone, … (il existe une version Iphone, Android, …) Même sur Android les fichiers sont cryptés. On peut faire du streaming pour les vidéos, faire des sauvegarde, des synchro, l’intégrer à windows (en tant que lecteur réseau), revenir sur d’anciennes versions de fichiers. Bref pour l’instant, je le trouve vraiment bien.
    @++

  2. J’oubliai, en s’inscrivant on a 1 Go gratuit et si vous vous faîtes parrainer, 2Go. Le parrain gagne 250 mo (pour 1 an par contre). Voici un parrainage au cas où : http://www.wuala.com/referral/H5JFM6NCKNA7MPFB4A6P
    (Je ne sais pas si on est autorisé à faire cela. Si tel était le cas excusez moi et effacé ce commentaire 😉
    @++

  3. Bonne analyse Benoît.

    Au final, on est responsable de la protection de ses données où qu’elles soient. En local, sur un PC ou un serveur, à titre personnel ou professionnel, le problème est semblable. Il y a toujours un risque de se faire voler les données ou plus vraisemblablement les données et le matériel (qu’on peut aussi bêtement perdre dans le cas d’un portable par exemple). Il y a bien sûr les protections physiques, mais globalement les mêmes protections logicielles doivent être appliquées (mot de passe fort, cryptage, etc.) selon la nature des données.

    Dans le cas de l’affaire Dropbox, ça s’apparente à de la négligence de la part de la société. Il ne semble pas qu’un protocole de vérification/test ait été appliqué après les opérations. Par fort!

    Sylvain
    les meilleurs gratuiciels
    http://lesmeilleursgratuiciels.com

Comments are closed.