Dropbox et la confidentialité de nos données en ligne

Dropbox aurait menti sur le niveau de sécurité des données que nous lui confions. Plus exactement, ils auraient menti sur le fait que personne chez eux ne pourrait lire le contenu de nos fichiers sans disposer de notre mot de passe utilisateur.

Si cela se confirme, cela soulève quelques questions. Mais pas forcément de quoi crier au scandale comme certains se sont empressés de le faire. En fait, en ce qui me concerne, cela ne remet pas en cause l’usage que j’en fais. Laissez-moi vous expliquer ça.

La question n’a rien de nouveau (même si trop souvent certains ont a tendance à la passer sous silence) : quelle confiance pouvons-nous avoir dans des entreprises qui veulent gérer nos données (qui le veulent tellement que certaines proposent de le faire gratuitement) ?

Une confiance très relative.

Ça tombe bien, c’est exactement ce niveau de confiance que j’ai envers Dropbox. Mais pas seulement eux : envers tous les services en ligne (et bien moins encore pour certains d’entre eux) : Google, Apple, Amazon etc. listez tous les services en ligne car aucun ne devrait échapper au soupçon.

Relative à quoi, cette confiance, me direz-vous ? À ce que je suis prêt à perdre en échange d’un peu de confort. Car c’est à ça que ça se résume toujours : le confort, mon confort. Dans le cas de Dropbox, c’est le confort incroyable de disposer d’une syncro les doigts dans le nez de mes données (un pur régal) ou de bricoler soi-même une syncro, ou même de ne pas faire de syncro du tout.

Il faut encore s’entendre sur une chose : de quelles données parlons-nous ?

Entre nous, je me fiche royalement de savoir comment sont chiffrés les fichiers que je télécharge depuis le Web et que je garde dans la Dropbox. Même chose pour pas mal d’autres fichiers (mes raccourcis TextExpander, par exemple, ou les originaux des articles que je publie sur le blog : ils sont déjà publics).

Pour ceux-là, le niveau de sécurité par défaut de Dropbox me suffit, à savoir que personne ne peut “accidentellement” les lire. Mais ça ne concerne que ces fichiers : pour les données vraiment personnelles ou sensibles (mots de passe, informations financières, médicales et des fichiers vraiment personnels), c’est une tout autre histoire — et c’est là que je révèle au monde stupéfait ma nature parano (encore que les habitués ne seront pas étonnés).

Si vous me demandez mon avis, je dirais que c’est carrément de la folie, qu’il faut être taré/fou/naïf/maso/suicidaire (barrez les mentions inutiles) pour confier la moindre information sensible à qui que ce soit sur la base de la simple promesse que “juré craché, c’est chiffré et sécurisé. Parole de scout, personne ne peut/ne va les lire.” Cette promesse — de Dropbox et de tous les autres — ils peuvent se la garder : soit je suis le seul à avoir les clés du coffre, soit je n’y stocke rien d’important.

  • Ne rien stocker : toutes les données ont-elles besoin d’être en ligne ? Je ne pense pas.
  • Ou alors, ce que j’appele garder les clés du coffre : les chiffrer soi-même, puis stocker le fichier chiffré en ligne. Dans ce cas, pour peu que vous utilisiez un bon système de chiffrement, vous serez le seul détenteur de la clé et absolument personne sur cette planète ne pourra lire vos données sans votre accord. (Le chiffrement, si vous vous posez la question, c’est la capacité à rendre les données illisibles pour toute personne qui ne possède pas un mot de passe pour les décoder.

(Il existe une autre solution, peut-être la meilleure pour partager ou accéder facilement à des données sans les mettre sous la coupe d’une entreprise tierce et sans obligatoirement subir la nuisance des archives chiffrées : les héberger soi-même, sur un ordinateur que l’on aura transformé en serveur. L’ordinateur étant chez vous, vous seul y avez accès. Mais il faut aimer ça et avoir les compétences pour bien le faire).

Chiffrer les données

Mes mots de passe sont stockés dans Dropbox.

Quoi ?! Après tout ce que tu viens de dire sur la sécurité ? Mais oui, tout simplement ils sont enregistrés dans 1Password, une application (compatible avec Dropbox) qui les rend illisibles si on ne connaît pas le mot de passe principal. Personne chez Dropbox ne peut accéder au contenu.
1Password n’a rien d’obligatoire : c’est juste qu’il est merveilleusement intégré au Mac et très agréable à utiliser sans (à ma connaissance) aucun compromis sur la sécurité (il est payant, pour Mac OS X et Windows).
Sous GNU/Linux, je stocke d’ailleurs mes mots de passe dans un fichier texte tout ce qu’il y a de plus bête… qui est lui-même stocké dans un fichier TrueCrypt chiffré. C’est le même principe que 1Password, en artisanal et avec moins d’intégration.

Dans les deux cas, je suis le seul à connaître le mot de passe : aucun employé de Dropbox, aucun espion (ni aucune HADOPI au monde) ne pourra y fourrer son nez. Du moins, pas sans un mandat ou un papier officiel signé par un juge d’un tribunal français demandant que je — moi et personne d’autre — donne l’accès à mes données

Mes photos pornosfichiers confidentiels sont eux aussi stockés dans un fichier chiffré (une archive DMG ou TrueCrypt).
C’est exactement le même résultat qu’avec les mots de passe : c’est privé. Nul ne rentre ici s’il n’est moi, ou s’il n’a un mandat.

Et vous savez quoi ? C’est très facile à faire. Il n’est même pas nécessaire d’investir une fortune. En fait, en dehors de 1Password (qui n’a rien d’obligatoire, je le répète), tout ce que j’utilise est disponible gratuitement.

Créer une image disque chiffrée sous OS X

Mac OS X dispose de tout ce qu’il faut pour créer une image disque chiffrée. Tout se passe dans l’Utilitaire de disque, qui se trouve dans le dossier Applications -> Utilitaires. L’inconvénient d’une telle image (pour moi, du moins), c’est qu’elle n’est lisible que sur un Mac.

Utilitaire de Disque 001.png

Cliquez sur l’icône Nouvelle image et optez pour un Chiffrement 256 bits (sous Mac OS X10.5 Leopard et supérieur) et suivez les instructions.

Avec TrueCrypt

TrueCrypt a l’avantage d’être disponible (gratuitement) pour Mac, Windows et GNU/Linux. Là aussi, on suivra les instructions d’un assistant. Il n’est dispo qu’en anglais, mais ce n’est pas très difficile.

True Crypt 001.png

Utilisation

Dans les deux cas, on se retrouve avec un fichier-dossier-archive (un bidule, quoi) qui contient que l’on ne peut ouvrir qu’avec un mot de passe que vous aurez défini (un truc que personne ne puisse deviner. Sinon ça ne sert pas à grand-chose).

L’image une fois créée, vous pourrez y placer n’importe quoi : mots de passe, images, relevés bancaires, le nom de l’assassin véritable de Kennedy, des photos de vous avant votre régime, … et vous pourrez y accéder comme à n’importe quels fichiers ou dossiers.

Le prix à payer c’est que, chaque fois que vous modifiez un fichier dans une archive TrueCrypt ou dans une image disque classique sous Mac OS X (edit: ce n’est pas le cas si vous utilisez une image disque de type sparsebundle (Leopard ou plus)), c’est toute l’archive qui sera retéléchargée à chaque fois. Il vaut donc mieux avoir plusieurs petites archives.

Et pour les backups en ligne, on fait comment ?

Ha ben oui, bien vu : si la question se pose pour les données stockées dans Dropbox, elle devrait se poser encore plus fort pour un backup en ligne de votre disque dur qui, lui, est supposé contenir toutes vos données.

Là encore : il suffit d’utiliser un service qui vous permet de garder les clés. Des services comme JungleDisk ou CrashPlan permettent cela :

Crash Plan 002
Ici, CrashPlan me permet de créer une clé privée que je serai seul à connaître (la conséquence étant que si je la perds, je n’aurais aucun moyen d’accéder à mes sauvegardes).

Et pour le reste ?

La protection de nos données et de leur caractère privé, comme la protection de notre anonymat et de notre vie privée en ligne est un sujet inépuisable, et ne s’arrête pas au “cloud”.

L’email par exemple : combien parmi nous utilisent des emails chiffrés ? Personne ou presque, je parie. Pourtant, il faut savoir qu’un email “normal” est moins confidentiel qu’une carte postale : il sera copié et recopié en plusieurs exemplaires (et conservé un temps indéterminé) sur tous les serveurs par lequel il sera passé entre votre boîte d’envoi et la boîte de réception du destinataire. Et n’importe qui pourra le lire. Chiffrer l’email (avec PGP) n’empêchera pas sa copie, mais rendra impossible sa lecture sans disposer de la clé. (J’ai d’ailleurs mis à jour ma page de contact avec ma clé PGP : elle n’est pas là pour vous amuser à faire des tests, merci de ne pas pourrir ma boîte, elle est là si vous souhaitez pouvoir me contacter en toute confidentialité).

Email, encore : combien accèdent à leurs courriers par IMAP ? Moi le premier : c’est trop pratique IMAP poru accéder aux emails depuis le Mac, le PC, l’iPhone, l’iPad, etc. Il faut juste se souvenir qu’en utilisant IMAP au lieu de POP, les courriers restent stockés en permanence sur le serveur mail… Serveur de mail qui n’est pas sous notre contrôle.

Le vol/la perte d’un ordinateur est un autre problème digne d’intérêt : il arrive quoi aux données dans ce cas ? Je suis parano, je l’ai dit : je ne veux pas que n’importe qui accède au contenu de mon disque dur. Du coup, je chiffre mon répertoire utilisateur (avec FileVault, intégré au Mac, ou avec le système intégré à Ubuntu… Microsoft n’offrant absolument aucune protection sauf si vous payez pour la version Ultimate Top Moumoute à Bretelles de Windows 7, ce qui est… minable).

Et vos sauvegardes ? Mmmm ? (Déjà, c’est bien d’en faire, bravo). Mais vos supports de sauvegardes sont-ils chiffrés ? Et quelles données sont sauvegardées sur les supports non chiffrés ?

Etc.

Si la question est de savoir à quel point nos données personnelles restent confidentielles et à quel point notre vie privée est respectée, une fois que nous sommes en ligne, nous devrions aussi nous interroger nous-mêmes : remettre en question nos usages de services tels que Facebook (là encore : qu’avons-nous abdiqué en échange d’un peu de confort ?).

Nous devrions aussi questionner le choix probable du gouvernement français de placer un “mouchard HADOPI” dans nos box et/ou dans nos machines, afin de surveiller toutes les connexions “au cas où” nous serions des pirates ou, plus exactement, au cas où nous devrions prouver que nous ne sommes pas des pirates. Prouver son innocence… ça fait peur. Même si là aussi il existe des solutions (“des”, comme dans plus de une) pour enfumer cette mauvaise loi et pour renvoyer les incompétents qui l’ont votée et qui en voteront d’autres dans le bac à sable qu’ils n’auraient jamais du quitter, ce ne serait pas plus mal de leur demander des comptes : après tout, ils bossent pour vous, pas pour une poignée de seigneursd’industriels.

Il faut bannir le cloud ?

Pas pour moi. Hors de question.
J’utilise Dropbox, et je continuerai à le faire.
J’utilise MobileMe, de Apple.
Je sauvegarde mes données avec CrashPlan, sur leur serveur.
Je n’utilise pas Facebook (qui est le Windows des réseaux sociaux, le Microsoft du XXIe siècle), mais j’utilise Twitter et identi.ca (enfin, je devrais l’utiliser sérieusement).

Je les utilise car je ne leur fais pas plus confiance que ça. Je sais quelles données je leur confie, avec quel niveau de sécurité et de confidentialité.

Sur le même sujet, si vous n’avez pas peur de l’anglais, je vous encourage à visionner cette conférence.