Dropbox est l’un de mes services Web favoris. Il synchronise automatiquement tous mes fichiers partout. Jusqu’à maintenant, ce service a toujours bien fonctionné. Récemment, un incident a terni la réputation de ce service et secoué les aficionados du «cloud computing».
Une erreur de programmation a ouvert tous les comptes des usagers de Dropbox pour une période de 4 heures. En clair, il suffisait uniquement de saisir l’adresse mail d’un utilisateur pour ouvrir une session sur Dropbox. Le mot de passe était «optionnel», les comptes étaient ouverts aux quatre vents.
Évidemment, cette erreur de Dropbox est inexcusable et soulève plusieurs questions.
- Devons-nous sacrifier la sécurité au profit de la facilité d’utilisation?
- Est-ce que les fournisseurs de services offrent suffisamment d’options pour renforcer la sécurité des comptes d’utilisateurs?
- Devons-nous chiffrer nous-mêmes nos fichiers sensibles?
- Doit-on déposer des documents sensibles ou confidentiels sur les services Web?
Aucune solution n’est parfaite, y compris l’hébergement des données sur votre serveur. Si vous faites le choix d’héberger vos données chez un fournisseur de service Web, informez-vous de sa réputation. Ensuite, avez-vous développé votre propre politique de sécurité sur le partage de documents et le type de fichier qui pourrait être envoyé sur un service Web? Précisez le plus possible votre démarche avant d’adhérer à ce type de service. Vous serez plus en contrôle et il sera plus facile de faire face aux problèmes.
Devons-nous sacrifier la sécurité au profit de la facilité d’utilisation?
Revenons sur le cas de Dropbox. En avril dernier, un autre incident a ébranlé les utilisateurs de ce service. Une petite modification sur le contrat de conditions d’utilisation a lancé une polémique. Elle concernait la clé de chiffrement et la façon de chiffrer et déchiffrer les documents présents sur les comptes. En gros, Dropbox avait la possibilité de consulter les fichiers des utilisateurs si les autorités américaines le demandaient.
De plus, Drobox a sacrifié une partie de la sécurité au profit d’une plus grande facilité d’utilisation. Ce point est à mon avis valable, il permet au consommateur de plus facilement avoir accès aux fonctionnalités avancées de Dropbox. Par contre, Dropbox devrait permettre de mieux sécuriser les comptes. Il suffirait d’offrir plusieurs niveaux de sécurité comme le fait Google. Donc, devons-nous sacrifier la sécurité au profit de la facilité d’utilisation? Dans certains cas oui, mais les clients doivent toujours avoir la possibilité de renforcer la sécurité s’ils le désirent.
Est-ce que les fournisseurs de services offrent suffisamment d’options pour renforcer la sécurité des comptes utilisateurs?
Tous les services Web ne sont pas égaux. Par exemple, les clients de Google ont accès à plusieurs fonctionnalités qui permettent de renforcer la sécurité des comptes. Par exemple, il est possible de paramétrer les droits d’accès et niveau de sécurité d’une synchronisation mobile et d’activer la validation en deux étapes.
La validation en deux étapes est particulièrement intéressante. Une fois activé, pour accéder à votre compte, en plus de votre mot de passe, vous devez utiliser un jeton de sécurité unique. Les niveaux de sécurité multiples devraient être offerts par tous les fournisseurs de service.
Devons-nous chiffrer nous-mêmes nos fichiers sensibles?
Tout dépend du type de document et de votre niveau de tolérance aux risques. Si vous le désirez, vous pouvez utiliser une solution comme TrueCrypt. Ce service gratuit chiffrera vos dossiers et répertoires sensibles.
Malgré toutes les précautions que vous pouvez prendre, n’oubliez pas de choisir un mot de passe long et complexe. Je reviendrai sur ce sujet, je viens tout juste de me faire hacker un compte mail que j’utilisais uniquement pour faire des tests. De votre côté, quelles sont vos stratégies pour sécuriser vos fichiers sur le Web?
Benoit Descary