Accueil > Protégez Votre Vie Privée > Solutions > Sécurité en ligne > Les populaires services de stockage en ligne sont-ils sûrs ?

Les populaires services de stockage en ligne sont-ils sûrs ?

  • par

Nous avons tous d’importantes quantités de documents texte, musique, photos, vidéos et autres données personnelles à protéger et à sauvegarder. Stocker nos données localement peut s’avérer risqué car un disque dur peut toujours s’abîmer et un appareil mobile être perdu, volé ou cassé. Le stockage en ligne est en partie là pour y remédier.

Tous les jours, des personnes perdent la totalité de leur collection de photos lors d’une mise à jour de Windows ou de leur téléphone, à leur grand désespoir. C’est pourquoi, le stockage en ligne est un excellent moyen de se protéger contre ce type de perte, mais le stockage dans le nuage est-il sécurisé ?

Lorsqu’il s’agit de sauvegarder des données en ligne, il existe plusieurs services clés gratuits que tout le monde utilise, tant ils sont simples d’accès : Google Drive, Dropbox, Microsoft OneDrive et iCloud d’Apple. Dans cet article, nous examinerons dans quelle mesure ces services de stockage en ligne populaires sont réellement sécurisés.

Google Drive est-il un service de stockage en ligne sécurisé ?

Google Drive est un moyen simple et efficace de sauvegarder ses données dans le cloud, et parce qu’il est disponible gratuitement (jusqu’à 15 Go de stockage en ligne) avec un compte Gmail, il est extrêmement populaire.

Pour les personnes qui sauvegardent des documents sensibles, cependant, des inquiétudes peuvent exister quant à la sécurité réelle de Google Drive. Après tout, il a été révélé que Google travaillait main dans la main avec la NSA dans le cadre de son programme de surveillance PRISM. Alors, quel type de sécurité Google Drive offre-t-il vraiment ?

En transmission

Le premier risque pour la sécurité de vos données réside dans leur transmission vers ou en provenance de l’espace distant sur les serveurs centraux de Google. Lorsque vous téléchargez vos données, elles sont acheminées via Internet, ce qui signifie qu’elles peuvent être interceptées durant leur transport.

Pour atténuer ce risque, Google chiffre vos données à l’aide de TLS avant de télécharger vos données. Il s’agit de la même norme de chiffrement utilisée pour sécuriser les connexions du navigateur aux sites Web HTTPS. Une vérification rapide avec l’outil d’audit de chiffrement indépendant Qualys SSL Labs révèle que les connexions TLS de Google sont classées A+ (ce qui est aussi bien que possible).

Google chiffre également vos données lorsqu’elles sont en transit sur son réseau interne. Cela signifie que vos données sont toujours chiffrées lorsqu’elles passent d’un serveur Google à un autre et pendant la synchronisation avec vos différents appareils.

Au repos

Une fois que vos données arrivent chez Google, elles sont chiffrées afin de les garder en sécurité sur ses serveurs en nuage. Google utilise le chiffrement AES 128 bits pour toutes les données au repos. Bien que ce ne soit pas aussi fort que le chiffrement 256 bits, cela reste une solution tout à fait acceptable.

Pour plus de sécurité, Google chiffre les clés de chiffrement AES utilisées pour chiffrer vos données à l’aide d’un ensemble rotatif de clés principales. Cela ajoute une couche supplémentaire de sécurité aux données stockées sur les serveurs de Google.

Google chiffre tous vos fichiers “à la volée” pour garantir que vos données soient toujours stockées en toute sécurité et que seul le fichier auquel vous souhaitez réellement accéder est déchiffré. Malheureusement, c’est Google qui détient la clé de vos fichiers en votre nom, ce qui signifie que l’entreprise peut accéder à vos fichiers si elle le souhaite.

Politique de confidentialité

Les conditions d’utilisation de Google stipulent que “Pour nous, vous restez propriétaire des données que vous nous confiez et nous pensons qu’il est important que vous puissiez y accéder… Certains de nos Services vous permettent d’importer, de soumettre, de stocker, d’envoyer ou de recevoir des contenus. Vous conservez tous vos droits de propriété intellectuelle sur ces contenus. En somme, ce qui est à vous reste à vous.

En revanche, l’entreprise déclare qu’elle a le droit d’utiliser votre contenu privé pour améliorer ses services. Cela signifie que l’entreprise peut scanner vos documents à la recherche d’informations et de mots-clés afin de mieux vous servir ou pour améliorer ses services et en développer de nouveaux.

Google se réserve également le droit de transmettre vos données aux autorités si un mandat lui est délivré. Cela signifie que le gouvernement américain peut entrer dans tous vos dossiers sans que vous ne le sachiez jamais (secret des procédures).

Rien de tout cela n’est donc véritablement idéal et c’est la raison principale pour laquelle tout service de stockage en ligne qui ne fournit pas un chiffrement de bout en bout, dont vous seul détenez la clé, ne peut être considéré comme véritablement sûr.

Stockage en ligne OneDrive : est-il sécurisé ?

OneDrive est un service de stockage en ligne populaire fourni par Microsoft qui offre à ses utilisateurs 5 Go de stockage gratuit. Si vous êtes un utilisateur OneDrive, vous vous demandez peut-être dans quelle mesure vos données sont sécurisées.

En transmission

Les données transmises au stockage en ligne OneDrive de Microsoft sont chiffrées avec le chiffrement TLS à l’aide de clés de 2048 bits. Il s’agit d’un chiffrement robuste qui garantit que vos données sont protégées contre les pirates informatiques et le suivi pendant leur transfert.

Afin de sécuriser vos données lorsqu’elles passent d’un serveur à l’autre (Microsoft stocke vos données à plusieurs endroits pour les protéger contre les incidents). L’entreprise chiffre également vos données avant de les déplacer en interne. Microsoft déclare que bien que “Alors que ces données sont déjà transmises par le biais d’un réseau privé, elles sont encore mieux protégées à l’aide du meilleur chiffrement de sa catégorie“.

Au repos

Alors que Microsoft fournit définitivement des informations sur le chiffrement au repos pour les utilisateurs payants de niveau “business” de OneDrive. Trouver des preuves de chiffrement au repos pour les utilisateurs gratuits de OneDrive est beaucoup plus….sportif.

Les utilisateurs professionnels sont informés que BitLocker chiffre toutes les données qu’ils stockent sur les serveurs Microsoft. Le chiffrement à la volée permet le chiffrement de chaque fichier individuel que vous téléchargez. Selon Microsoft, il utilise le chiffrement AES 256 conforme à la norme FIPS (Federal Information Processing Standard) 140-2. C’est un chiffrement fort.

Malgré la confusion qui entoure la différence entre les comptes professionnels et personnels, nous ne pouvons que présumer que Microsoft fournit effectivement le chiffrement au repos pour tous les utilisateurs OneDrive. Cet article suggère que c’est le cas : “Chaque fichier est chiffré au repos avec une clé AES256 unique. Ces clés uniques sont chiffrées à l’aide d’un ensemble de clés principales qui sont stockées dans la chambre forte de la clé Azure“.

Cette déclaration implique que tous les utilisateurs de OneDrive obtiennent un chiffrement au repos et que ce chiffrement est à la volée, bien que Microsoft ne fasse pas clairement la différence entre les comptes professionnels et les comptes personnels.

Cependant, il est utile de rappeler que OneDrive est un service de stockage en ligne entièrement propriétaire. Il s’agit d’une source fermée, ce qui signifie qu’il est impossible de vérifier la sécurité de vos données. De plus, comme l’entreprise chiffre vos données en votre nom et qu’elle détient les clés de chiffrement sur ses serveurs, elle a la possibilité d’accéder à vos données si elle le souhaite et de numériser vos documents comme elle l’entend.

Politique de confidentialité

Comme c’est le cas pour les services de Google, OneDrive de Microsoft est couvert par la politique générale de confidentialité pour tous les produits et services de Microsoft. Cette politique stipule que Microsoft a le droit d’accéder à vos données afin de mieux fournir ses services. Elle permet également à l’entreprise d’accéder à vos données à des fins de suivi et de diffusion d’annonces.

La politique de Microsoft rappelle également aux utilisateurs qu’elle se conformera aux mandats gouvernementaux si on lui demande de le faire : “Enfin, nous conserverons, accéderons à, transférerons, divulguerons et préserverons les données personnelles, notamment vos contenus (comme le contenu de vos e-mails dans Outlook.com, ou des fichiers de dossiers privés dans OneDrive), lorsque nous pensons de bonne foi qu’il est nécessaire de le faire pour effectuer l’une des actions suivantes : lorsque cela est exigé par la loi en vigueur ou pour répondre à des requêtes légales valides, notamment celles émanant des organismes d’application de la loi et d’autres organismes gouvernementaux…

Vos données peuvent être consultées par les autorités à tout moment, et parce que les États-Unis appliquent des ordonnances de non-divulgation, vous ne seriez jamais informé de cette intrusion dans vos données.

Ainsi, comme toujours, si vous souhaitez que vos données soient stockées en ligne en toute sécurité, il est essentiel d’opter pour un service qui offre un véritable chiffrement de bout en bout, open source, et dont vous détenez seul la clé.

iCloud est-il un service de stockage en ligne sécurisé ?

iCloud est le service de stockage en ligne d’Apple. Comme c’est le service maison, intégré à l’écosystème des produits qu’elle fabrique, c’est tout naturellement un service extrêmement populaire parmi les utilisateurs Apple. On suppose souvent qu’il est respectueux de la vie privée de ses utilisateurs et qu’il est plus sûr que certains de ses concurrents.

Cependant, comme les autres services populaires décrits dans cet article, iCloud est une source totalement fermée. Cela signifie que son code source n’est pas disponible pour être audité par des professionnels de la sécurité. Vous ne pouvez donc que faire confiance à Apple pour fournir le niveau de sécurité qu’il prétend.

Edward Snowden a également révélé le fait qu’Apple a travaillé main dans la main avec la NSA pour enquêter sur ses utilisateurs. Alors, pouvons-nous lui faire confiance ? Et est-il vraiment plus sûr que ses concurrents ?

En transmission

En 2014, Apple a dû faire face à une mauvaise presse après une série d’attaques contre des utilisateurs d’iCloud. Selon des sources, les connexions aux serveurs iCloud étaient vulnérables à une attaque intermédiaire. Apple a nié, affirmant que les utilisateurs avaient été victimes d’un phishing. Malgré ses dénégations, l’entreprise a amélioré la sécurité de son service iCloud.

Apple déclare que toutes les communications avec les serveurs iCloud sont protégées par le chiffrement TLS 1.2 avec Forward Secrecy. Nous avons vérifié la sécurité TLS d’iCloud à l’aide des Qualys SSL Labs et nous avons constaté que le service obtient un A+. Ainsi, la sécurité des données en transmission devrait être bonne.

Pour plus de sécurité, lorsque vous accédez aux services iCloud à l’aide d’applications Apple natives telles que Mail, Calendrier ou Contacts, l’authentification est gérée par un jeton sécurisé. Les jetons sécurisés éliminent le besoin de stocker votre mot de passe iCloud sur votre appareil ou votre ordinateur. Contrairement à un mot de passe (qui pourrait être utilisé pour se connecter à partir d’un autre appareil), ce jeton ne peut pas être volé parce qu’il est lié cryptographiquement à votre appareil (et sans cet appareil, il est inutile).

Personne n’est en mesure non plus de vérifier quel type de protection Apple utilise pour transmettre vos données sur ses réseaux privés. On peut supposer que l’entreprise utilise le chiffrement pour transmettre les données entre les serveurs en ligne, mais l’information sur le niveau de sécurité n’est pas librement accessible.

Au repos

Apple déclare que toutes les données sont stockées sur ses serveurs en utilisant le chiffrement AES 128. Ce n’est pas aussi sûr que le chiffrement AES 256 fourni par de nombreux services de stockage en ligne, mais est encore considéré comme une solution tout à fait acceptable.

Le chiffrement de bout en bout est disponible pour certaines données qui sont communiquées aux serveurs d’Apple (Apple utilise le chiffrement de bout en bout pour iMessages et FaceTime, et pour les données à domicile, les données de santé, le trousseau des mots de passe iCloud, les informations de paiement, le dictionnaire du clavier Quicktype, le temps d’écran, les informations Siri et les informations réseau Wifi).

Le chiffrement de bout en bout n’est pas disponible pour les fichiers individuels transmis à iCloud. Cela signifie qu’Apple conserve lui aussi le contrôle des clés de chiffrement des fichiers qu’il chiffre en votre nom sur ses serveurs.

Là aussi, c’est loin d’être idéal car cela signifie que les clés de vos données pourraient être accessibles par le personnel d’Apple, être divulguées en ligne, ou peut-être même piratées depuis ses serveurs par des cybercriminels.

Politique de confidentialité

La politique de confidentialité d’Apple indique clairement que les données des utilisateurs iCloud peuvent être accessibles dans certaines circonstances : “Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs, ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu’il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs.”

Comme vous pouvez le constater, la politique permet à Apple de scanner vos documents pour s’assurer qu’ils ne sont pas illégaux. Il n’est pas clair si Apple utilise sa capacité à numériser des documents à d’autres fins, mais il se donne également la permission d’utiliser vos données pour développer de nouveaux services.

Comme c’est le cas pour Google et Microsoft, la politique d’Apple stipule également qu’elle se conformera aux demandes légales de données. Cela signifie qu’il est possible que l’entreprise se voie imposer un bâillon et que vos données iCloud soient accessibles à votre insu : “Apple pourra être amenée, du fait de la loi, dans le cadre d’une procédure en justice, d’un litige et/ou d’une requête des autorités publiques de votre pays de résidence ou autre, à divulguer vos données personnelles. Nous pouvons également divulguer des informations vous concernant si nous pensons qu’à des fins de sécurité nationale, d’application de la loi ou autre sujet d’intérêt public, la divulgation est nécessaire ou appropriée“.

Alors, à quelle fréquence Apple consulte-t-elle les données de ses clients ? Au cours du second semestre 2018, Apple a admis avoir reçu 943 demandes des autorités françaises concernant 154 comptes. Apple déclare qu’elle a communiqué des données à la police pour 99 d’entre eux. Pour une vision globale de la réponse qu’Apple fournit aux demandes gouvernementales des différents pays sur les données de ses clients, rendez-vous ici.

Stockage en ligne Dropbox : est-il sécurisé ?

Dropbox est un service de stockage en ligne basé à San Francisco, Californie. C’est le seul service de stockage distant sur cette liste qui n’appartient pas à un géant de la technologie. Il est, au contraire, devenu populaire grâce à son unique service.

Malgré cela, il est difficile de considérer Dropbox plus sûr que ses concurrents. En fait, le service a été directement mis en cause par Edward Snowden, qui a dénoncé le manque de respect de la confidentialité des données et des utilisateurs de la plateforme.

Dropbox est en partie sous licence GPLv2 et en partie fermé. Cela signifie qu’il est impossible de vérifier indépendamment tout le code source du service. C’est suffisant pour décourager certaines personnes parce qu’il existe sur le marché des services de stockage en ligne entièrement open-source.

En transmission

Comme c’est le cas pour les autres services mentionnés dans cette liste, Dropbox utilise un TLS sécurisé pour protéger toutes les données qui sont transmises des utilisateurs aux serveurs de l’entreprise. Dropbox indique que ses connexions TLS créent un tunnel qui est protégé par le chiffrement AES 128.

Qualys SSL Labs a évalué la connexion TLS avec un A+, ce qui signifie que l’on peut faire confiance à ces connexions pour protéger les données de l’utilisateur pendant leur transfert.

Cependant, Dropbox ne fournit pas de chiffrement de bout en bout, ce qui signifie que les données sont toujours susceptibles d’être interceptées.

Au repos

Dropbox stocke toutes les données sur ses serveurs avec un chiffrement AES 256 fort. Cependant, il est impossible de dire à partir de ses propres publications si ce chiffrement est fourni à la volée pour chaque fichier auquel on accède.

Comme c’est le cas pour les autres services de cet article, Dropbox ne fournit pas de chiffrement de bout en bout. Au lieu de cela, il détient les clés de chiffrement pour les données de chacun et conserve le contrôle total sur le chiffrement et le décryptage des données au nom de l’utilisateur. Il s’agit d’un risque en termes de sécurité et de protection de la vie privée, car cela signifie que l’entreprise peut accéder aux données des utilisateurs quand elle le souhaite.

De plus, il est possible que les données des utilisateurs soient exposées s’il y a une fuite interne ou si des pirates parviennent à voler les clés de chiffrement des utilisateurs sur les serveurs de l’entreprise.

Il convient également de noter que le service a déjà connu des problèmes avec ses mécanismes d’authentification, de sorte que n’importe qui pouvait accéder aux fichiers Dropbox du monde entier pendant environ quatre heures, sans avoir besoin d’un mot de passe de compte. De plus, les chercheurs en sécurité ont aussi découvert un défaut dans l’application iOS de Dropbox qui stockait les informations de connexion des utilisateurs en texte clair.

Pour autant, elle a depuis, réglé ces problèmes et ajouté des mesures de sécurité pour permettre aux consommateurs de protéger leurs comptes. Il s’agit notamment de l‘authentification à deux facteurs, d’une page pour vérifier les connexions actives au compte, de systèmes automatisés qui vérifient les activités inhabituelles et de mises à jour forcées des mots de passe pour les comptes dont on pense qu’ils agissent de manière non conventionnelle.

Malgré ces améliorations, toute personne souhaitant utiliser Dropbox en toute sécurité devra utiliser un logiciel tiers pour chiffrer ses données avant de les télécharger sur Dropbox.

Politique de confidentialité

La politique de confidentialité de Dropbox indique clairement que vos données resteront toujours les vôtres. Cependant, la politique donne à l’entreprise l’autorisation de “scanner” toutes vos données dans le but de mieux fournir ses services : “En utilisant nos Services, vous nous fournissez des éléments comme vos fichiers, contenus, messages, contacts, etc. (ci-après “vos Données”). Vos Données vous appartiennent. À l’exception de droits limités nous permettant de vous proposer les Services, les présentes Conditions ne nous accordent aucun droit sur vos Données.
Nous avons besoin de votre autorisation pour réaliser certaines opérations telles que l’hébergement, la sauvegarde et le partage de vos Données lorsque vous nous le demandez. Nos Services vous fournissent également des fonctionnalités, telles que les vignettes photo, les aperçus de documents, les commentaires, ainsi que des fonctions de tri, de modification, de partage et de recherche. Ces fonctionnalités et d’autres peuvent nécessiter que nos systèmes accèdent à vos Données, les stockent et les analysent.

Comme si cela ne suffisait pas, l’inscription à Dropbox signifie également que vos données peuvent être partagées avec des tiers : “Vous nous accordez l’autorisation de réaliser ces opérations, ainsi qu’à nos filiales et aux tiers de confiance avec lesquels nous collaborons.”

Le fait d’être une entreprise américaine signifie également que Dropbox peut se voir imposer une requête pour obtenir des données en même temps qu’une ordonnance de non-divulgation. Dans de telles circonstances, le gouvernement américain peut avoir accès à vos données, indéfiniment, sans que vous sachiez jamais avoir fait l’objet d’une enquête.

Dropbox indique clairement qu’il se conformera aux demandes légales et avertit les utilisateurs qu’ils ne doivent pas utiliser leurs comptes pour partager du contenu protégé par copyright : “Vous êtes responsable de votre comportement. Vos Données et vous devez être en conformité avec notre Politique d’Utilisation Acceptable. Les contenus dans les Services peuvent être protégés par les droits de propriété intellectuelle d’autrui. Veuillez ne pas copier, transférer, télécharger, ni partager de contenus à moins de détenir les droits requis pour le faire.”

La politique indique clairement que le respect de la vie privée n’est pas assuré lors de l’utilisation du service. Votre contenu sera scanné et pourrait être utilisé pour vous poursuivre en justice si vous êtes reconnu coupable d’avoir enfreint les lois, y compris le piratage des droits d’auteur.

Adopter de meilleures pratiques

Comme vous avez pu le lire, cet article soulève de nombreuses questions concernant la confidentialité des données fournies par les services de stockage en ligne les plus couramment utilisés.

L’absence de chiffrement de bout en bout signifie que vous devez faire confiance au fournisseur pour stocker vos données et les protéger. Et, en raison de leur juridiction basée exclusivement aux États-Unis, il y a toujours la possibilité que les autorités gouvernementales puissent consulter les données de vos comptes sur la base d’une simple procédure judiciaire.

La question de savoir si les services de stockage en ligne ci-dessus constituent une solution acceptable pour vous dépend en grande partie de votre situation personnelle et de votre modèle de menace. Si autoriser Google, Apple, Microsoft ou Dropbox à stocker vos documents chiffrés en votre nom semble suffisamment sûr pour vous, alors utilisez ces services. En revanche, si vous accordez une grande importance à la protection de la vie privée, il sera toujours préférable d’adopter une alternative à code source libre et chiffrement de bout en bout.

Si vous décidez d’utiliser l’un des services ci-dessus, nous vous recommandons de le faire en appliquant certaines mesure de sécurité élémentaires :

  • Choisissez un mot de passe fort et unique. Chacun de vos comptes nécessite un mot de passe unique et sécurisé. Si vous ne le faites pas, vos données pourraient être exposées en raison d’une attaque de phishing.
  • Utiliser l’autorisation à deux facteurs. Votre mot de passe est la clé de tous vos documents, ce qui signifie que quiconque le craque pourra accéder instantanément à vos fichiers. 2FA vous offre une couche de protection supplémentaire qui empêche les pirates d’accéder à vos fichiers.
  • Par défaut, les fichiers que vous créez sur Google Drive, OneDrive, iCloud et Dropbox sont définis comme privés. Cependant, si vous décidez de partager l’accès à un fichier ou à un dossier avec quelqu’un utilisant un lien, il est possible que ce tiers puisse partager ce fichier ou ce dossier avec quelqu’un d’autre. Pour cette raison, il est important de toujours savoir avec qui vous partagez l’accès à vos données, comment et pourquoi ?
  • Utilisez un logiciel tiers pour chiffrer vos données avant de les télécharger vers un service cloud en ligne. Chiffrer les données avant qu’elles ne soient téléchargées vers un service signifie que vous seul détenez la clé des données.