L'utilisateur de Dropbox n'est pas le seul à connaitre la clé de cryptage de ses données

Dropbox est un service gratuit dit d’informatique en nuage (cloud computing) qui permet d’enregistrer certains fichiers présents sur son ordinateur et de pouvoir ensuite y accéder depuis n’importe quel terminal possédant une connexion Internet. Dropbox permet aussi de synchroniser automatiquement ces fichiers.

Les promesses initiales et les promesses modifiées
Jusqu’à récemment, Dropbox affirmait que les fichiers hébergés étaient soumis à un chiffrement (AES-256) et qu’ils étaient inaccessibles sans le mot de passe de l’utilisateur, laissant croire que personne d’autre que l’utilisateur ne détenait la clé de cryptage, autrement dit seul l’utilisateur avait les moyens de lire les données (Dropbox ne voyant en quelque sorte qu’un coffre fort fermé).

Christopher Soghoian a démontré que cela n’était pas le cas et Dropbox a modifié les informations contenues sur son site. Maintenant Dropbox indique seulement que tous les fichiers sont chiffrés (AES-256) et admet que les employés peuvent accéder aux données (même si cela leur est interdit). Pour reprendre la comparaison, Dropbox admet avoir la clé du coffre.

Contrairement à ce que certains ont pu croire, Dropbox n’a très certainement pas modifié sa pratique mais la société a seulement mis en conformité les termes utilisés sur son site Internet suite aux révélations précitées et au dépôt d’une plainte devant la Commission fédérale du commerce américain (FTC).

Un autre élément troublant (dont l’utilisateur n’a pas conscience) est la duplication du contenu: pour éviter de stocker un fichier déjà téléchargé par un autre utilisateur, Dropbox compare les fichiers avec ceux déjà enregistrés et n’en conserve qu’une seule version.

Dropbox est-il dangereux ?
Difficile de répondre de manière globale à une telle question, puisque cela dépendra surtout des données concernées. D’autres services, le plus souvent payant, offrent certainement une meilleure protection.

Quant à ceux qui souhaitent continuer à utiliser Dropbox, ils le feront soit pour des fichiers dont ils n’ont pas de crainte qu’un tiers puisse y accéder, soit ils prendront soin de ne synchroniser que des fichiers qu’ils auront préalablement encryptés. Ainsi Dropbox pourra toujours ouvrir le coffre-fort, mais ne trouvera qu’une boite bien fermée.

4 réflexions sur “L'utilisateur de Dropbox n'est pas le seul à connaitre la clé de cryptage de ses données”

  1. Jean Treccani

    Il y a un concurrent de Dropbox, qui assure une confidentialité absolue. Les données y sont chiffrées au niveau de l’utilisateur et la clef de chiffrement ne quitte pas sa machine. Sans parler d’un système de transmission p2p qui offre quelques autres avantages sécuritaires. Le service a été mis au point par des ingénieurs EPF, avec des serveurs en Suisse, en France et en Allemagne, et donc une bande passante intéressante. Utilisable aussi sur pc, mac, iphone, androïd. Fiable. Si vous souhaitez un code d’invité avec 2Gigas offerts, faites-moi un email. Pour en savoir plus : https://wuala.com/

      1. Personnellement j’utilise Wuala pour tout ce qui est sensible (notamment les données professionnelles) et Dropbox pour les photos. Et bien je reviens de Wuala : c’est certes crypté et + secure, mais c’est lent, trop lent. Je vais essayer BoxCryptor avec Dropbox et laisser tomber wuala… Dommage pour eux je les aimais bien.

  2. Wer persönliche Daten auf fremden Systemen speichert ohne selbst (und unabhängig von allfälligen Versprechen des Anbieters über die Zuverlässigkeit seiner Verschlüsselung) eine Verschlüsselung mit genügend sicherem Schlüssel und OpenSource Code vorzunehmen, ist selber schuld.

    Mir persönlich wäre Wuala in jeder Hinsicht zu unsicher.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut