Sylvain Métille, auteur du blog Nouvelles technologies et droit, publie un billet très instructif sur Dropbox, le fameux service en ligne de stockage et de synchronisation de fichiers. Dropbox offre un espace de stockage gratuit de 2 Go, et un utilitaire sous Windows, Mac, Linux, iOS, Android et BlackBerry, qui permet d’accéder à distance aux fichiers qui y sont déposés. Il peut être utilisé seul, pour accéder à ses documents personnels depuis n’importe quel poste, ou à plusieurs en partageant l’accès à des dossiers avec d’autres utilisateurs.
Parmi ses promesses, Dropbox annonce que « tous les fichiers stockés sur Dropbox sont chiffrés (AES-256)« , ce qui doit garantir la confidentialité de leur contenu. Impossible de les lire sans posséder la clé de déchiffrage. Or c’est là que réside l’ambiguïté, comme l’explique Sylvain Métille :
Jusqu’à récemment, Dropbox affirmait que les fichiers hébergés étaient soumis à un chiffrement (AES-256) et qu’ils étaient inaccessibles sans le mot de passe de l’utilisateur, laissant croire que personne d’autre que l’utilisateur ne détenait la clé de cryptage, autrement dit seul l’utilisateur avait les moyens de lire les données (Dropbox ne voyant en quelque sorte qu’un coffre fort fermé).
Christopher Soghoian a démontré que cela n’était pas le cas et Dropbox a modifié les informations contenues sur son site. Maintenant Dropbox indique seulement que tous les fichiers sont chiffrés (AES-256) et admet que les employés peuvent accéder aux données (même si cela leur est interdit). Pour reprendre la comparaison, Dropbox admet avoir la clé du coffre
Dropbox a ainsi mis son contrat en conformité avec ses pratiques, sans abandonner le stockage de la clé de chiffrement. Il apparaît d’ailleurs évident que le service utilise cette clé dont il possède le double, puisque « pour éviter de stocker un fichier déjà téléchargé par un autre utilisateur, Dropbox compare les fichiers avec ceux déjà enregistrés et n’en conserve qu’une seule version« . Or il serait techniquement impossible de comparer les fichiers sans les déchiffrer. L’option choisie par Dropbox se fait au détriment de la vie privée de ses clients.
« Les services de sauvegarde en cloud n’ont pas besoin de concevoir leurs produits de cette manière« , faisait remarquer Christopher Soghoian en avril dernier, lors de ses révélations. « Spideroak et Tarnsap sont deux services concurrents qui chiffrent les données de leurs utilisateurs avec une clé connue seulement de l’utilisateur. Ces sociétés ont choisi de privilégier d’abord la vie privée de leurs utilisateurs, mais l’effet de bord est qu’ils ont besoin de davantage d’espace de stockage. Si 20 utilisateurs uploadent le même fichiers, les deux sociétés conservent 20 copies ce fichier« .
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !