Ou bien comment s’assurer de la sécurité des données que vous mettez en ligne.
À mesure que le stockage en ligne devient plus courant, la sécurité des données est une préoccupation croissante. Les entreprises et les particuliers ont de plus en plus recours à des services tels que Google Drive, Microsoft OneDrive, Dropbox, Box, Amazon Drive, pCloud etc. Ils sont sans aucun doute soucieux de garder leurs informations privées et sécurisées. Mais comment faire pour se rassurer de la sécurité du Cloud ?
Les données stockées dans le Cloud sont presque toujours stockées sous une forme chiffrée. Le vrai problème – l’emplacement des clés du chiffrement varie selon les fournisseurs de ce service. En outre, les utilisateurs disposent de moyens relativement simples pour renforcer la sécurité de leurs propres données au-delà de celles intégrées aux systèmes qu’ils utilisent.
Qui détient les clés de la sécurité des données ?
Les systèmes de stockage en ligne commerciaux codent les données de chaque utilisateur avec une clé de chiffrage spécifique. Sans lui, les fichiers ressemblent à du charabia plutôt qu’à des données significatives.
Mais qui a la clé? Il peut être stocké soit par le service lui-même, soit par d’utilisateurs individuels. La plupart des services conservent la clé eux-mêmes, ce qui permet à leurs systèmes de voir et de traiter les données utilisateur, telles que l’indexation des données pour les recherches futures. A noter, que le niveau de chiffrement peut varier – plupart des services pratiquent un chiffrement de 128 à 256-bits. Ces services accèdent également à la clé lorsqu’un utilisateur se connecte avec un mot de passe, déverrouillant les données afin que la personne puisse les utiliser. C’est beaucoup plus pratique que de laisser les utilisateurs garder les clés eux-mêmes, car la pratique révèle que la clé pourra être perdue ou bien volée.
Mais il est également moins sécurisé: tout comme les clés ordinaires, si quelqu’un d’autre les possède, elles peuvent être volées ou utilisées abusivement à l’insu du propriétaire des données. Et certains services peuvent avoir des failles dans leurs pratiques de sécurité qui rendent les données des utilisateurs vulnérables.
Laisser les utilisateurs garder le contrôle
Certains services cloud moins populaires, notamment Mega et SpiderOak, imposent aux utilisateurs de télécharger et de téléverser des fichiers via des applications client spécifiques à un service incluant des fonctions de chiffrage. Cette étape supplémentaire permet aux utilisateurs de conserver les clés de chiffrement eux-mêmes. Pour cette sécurité supplémentaire, les utilisateurs renoncent à certaines fonctions, telles que la possibilité de rechercher parmi leurs fichiers stockés en ligne.
D’autres services n’ont pratiquement pas de sécurité – Google Drive et Microsoft OneDrive. A part l’authentification en deux facteurs, il n’y a aucune preuve que les données sont chiffrées en ligne et en même temps leur applications n’ont pas une sécurité renforcée, car ils s’installent en tant que dossier dans une session d’utilisateur ouverte et chaque personne malveillante peut y accéder.
Ces services ne sont pas parfaits – il est toujours possible que leurs propres applications soient compromises ou piratées, ce qui permet à quelqu’un malveillant de lire vos fichiers avant qu’ils ne soient chiffrés pour le téléchargement ou après leur téléchargement et leur déchiffrage. Et, bien sûr, si un utilisateur perd le mot de passe, les données sont irrécupérables.
Laisser le choix sur la sécurité des données
Ce qu’est le mieux à faire, c’est de laisser le choix aux utilisateurs, ce que font pCloud et Sync.
L’exemple de pCloud est probablement le meilleur : Ils proposent une protection de 256-bits AES, c‘est le standard le plus haut sur le marché, pour les clés par fichier et par dossier. Egalement, afin de garantir la sécurité de vos fichiers, pCloud utilise un cryptage TLS/SSL, qui est appliqué lorsque des informations sont transférées depuis votre appareil aux serveurs de pCloud.
Ces dernières mesures de sécurité gardent la clé chez le gardien de l’immeuble, c.à.d. chez pCloud. Ça leur permet de gérer les versions de vos documents, de vous permettre de rembobiner le compte etc.
En même temps, vous avez un coffre-fort chiffré dont que vous avez la clé. Dans le cas de pCloud Crypto c’est comme le coffre-fort dans votre appartement. Le gardien peut avoir une clé pour votre appartement, mais tout précieux vous pouvez le fermer dans un coffre-fort blindé. Personne ne peut y accéder, même le personnel de pCloud, ce qu’est bien mais il faut bien penser que si vous perdez la clé, il n’y a pas un doublon donc les données seront supprimées pour réinitialiser le mot de passe.
Crypto fonctionne avec le type de sécurité « Zéro Connaissance » – les données sont chiffrées à partir de l’ordinateur et partent en transfert déjà chiffrées. pCloud ont même osé à lancer un défi aux hackers – en 2015 ils ont offert 100 000 dollars américains à celui qui peut hacker un compte avec pCloud Crypto : https://www.pcloud.com/challenge/ ; En 6 mois, 2860 participants et ZERO gagnants.
Se protéger
Pour optimiser la sécurité du stockage dans le cloud, il est préférable de combiner les fonctionnalités de ces différentes approches. Avant de télécharger des données sur le cloud, commencez par les chiffrer à l’aide de votre propre logiciel de chiffrement. Si vous en n’avez pas, le Crypto de pCloud (par exemple), fait cette tâche pour vous.
Ensuite, téléchargez le fichier chiffré sur le cloud. Pour avoir à nouveau accès au fichier, connectez-vous au service, téléchargez-le et déchiffrez-le vous-même. Ça parait un double travail, mais c’est une des meilleures pratiques pour rester en toute sécurité.
Bien entendu, cela empêche les utilisateurs de tirer parti de nombreux services cloud, tels que l’édition en direct de documents partagés, la possibilité de voir plus qu’une version d’un document et la recherche de fichiers stockés.
Le meilleur moyen de vous protéger contre cela consiste à utiliser le chiffrement authentifié. Cette méthode stocke non seulement un fichier chiffré, mais également des métadonnées supplémentaires permettant à l’utilisateur de déterminer si le fichier a été modifié depuis sa création.
En fin de compte, pour les personnes qui ne souhaitent pas apprendre à programmer leurs propres outils, il existe deux choix fondamentaux:
- Trouver un service de stockage en ligne avec un logiciel fiable de téléchargement et de chiffrement, validé par des chercheurs indépendants en sécurité.
- Ou utilisez un logiciel de chiffrement open source de confiance pour chiffrer vos données avant de les télécharger sur le cloud; Celles-ci sont disponibles pour tous les systèmes d’exploitation et sont généralement gratuites ou très peu coûteuses.