Cloud : le diable est dans les détails
CGU, sécurité, confidentialité, édition en ligne, stockage maximal
Cet article est le troisième d’une série de trois sur les solutions de Cloud. Les deux premiers :
Pourquoi rappeler cette formule anglo-saxonne "Le diable est dans les détails" [1] à propos des solutions de cloud (stockage, partage et synchronisation de fichiers en ligne) ?
Parce que quasiment aucun des articles cités dans notre première partie ne mentionne certains points-clés.
Ces points sont pourtant incontournables : ils expliquent notre hésitation entre Google et Dropbox pour choisir la solution de cloud pour un groupe de travail d’une quinzaine de personnes [2].
Les voici.
Edition en ligne des documents
– Le tout récent partenariat Dropbox Microsoft [3] ne permettra pas de modifier directement en ligne ses fichiers hébergés sur Dropbox. En effet, seul l’iPad est concerné [4] pour le moment et de toute façon il n’est question que d’ouvrir les documents, pas de les "éditer".
Les solutions Microsoft et Google, permettent, elles, de modifier en ligne les documents.
Sécurité, confidentialité
– Les grands clouds "lisent" souvent vos documents :
- Microsoft et Apple vérifient que rien dans vos fichiers n’est illégal. C’est implicite dans leurs CGU (en anglais : TOS) [5]
- détaillons le cas de Google : les conditions générales d’utilisation de Google (un contrat qui vous engage donc ; "terms of service" ou TOS en anglais) lui donnent le droit de parcourir informatiquement/lire tout mail ou document présent sur ses services et de produire des produits dérivés de vos oeuvres/documents [6] — sans toutefois violer ses propres engagements de confidentialité.
Rappelons également que Google a été condamné par la CNIL (en janvier 2014) et par ses consoeurs européennes pour « ne pas informer suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles » [7].
– Attaques et failles de sécurité :
- Dropbox a été à plusieurs reprises confronté à des failles de sécurité massives [8]. Et la tendance de ses utilisateurs à partager leurs fichiers et dossiers entre eux "à la chaîne" entraîne immanquablement des risques pour vos fichiers à vous
- l’iCloud d’Apple aussi a été récemment attaqué.
– Peu de ces services gratuits cryptent vos données sur leurs serveurs de manière à les rendre illisibles en cas problème de sécurité ou de curiosité gouvernementale. Encore moins les cryptent côté client. Comme l’explique le site de l’éditeur Techniques de l’Ingénieur, « la plupart des services ont intégré le chiffrement des données dans leur technologie. Les données stockées sur Google Drive et OneDrive sont chiffrées lors de leur transfert vers les serveurs. Mais une fois dans le Cloud, ces données sont stockées en clair — sauf pour la version professionnelle de OneDrive. Dropbox, Box [et Mega] chiffrent les données stockées, mais détiennent les clés de chiffrement, ce qui leur permet d’accéder aux données des utilisateurs, même chiffrées. » [9]
Exceptions : Spideroak [10] qui crypte les données sans en stocker la clé chez lui [11]. Ce qu’on appelle du "zero-knowledge data storage" : personne d’autre que vous ne connaît le mot de passe, mais si vous le perdez, vous perdez vos données. Autres services encryptés de bout en bout : Tresorit et SecureSafe (voir notre article Mettre ses fichiers ou ceux d’un groupe dans le cloud : quelle application choisir ?).
Si le service que vous utilisez n’encrypte pas les données sur ses serveurs, vous pouvez le faire vous-mêmes si vous l’estimez nécessaire. Un ancien du service de messagerie cryptée Hushmail recommande [12] le logiciel TrueCrypt (il rend toutefois la synchronisation des fichiers quasi-impossible) et surtout le service allemand [13] (également disponible sur mobile) BoxCryptor (gratuit pour un usage personnel, donc sans partage de fichiers) pour le cloud et Hushmail pour le webmail ou PGP pour le mail (Pretty Good Privacy, voir GnuPG dit GPG et le module Enigmail pour Thunderbird [14] désormais, PGP étant désormais vendu par Symantec).
Un article de SiliconAngle [15] cite deux autres solutions gratuites de cryptage dans le cloud : Cloudfogger et Viivo (et deux solutions payantes).
Fichiers supprimés et anciennes versions
– La plupart de ces services gratuits ne gardent aucune version antérieure des documents modifiés ni ne permettent de récupérer un fichier supprimé.
Exceptions : Dropbox qui pendant 30 jours garde les versions anciennes et les fichiers supprimés, Google Drive qui garde 30 jours les anciennes versions seulement et Box qui garde juste les versions anciennes (mais ne permet pas de récupérer un fichier supprimé, sauf intervention par le support).
– OneDrive de Microsoft supprimera vos données après un an de non utilisation de votre compte [16].
Il faut relativiser cette limite : avec la plupart des clouds, la Corbeille Windows garde les anciens fichiers supprimés et permet de les récupérer.
Taille de stockage maximale des offres gratuites
– Dans les 15 Go offerts par Google, les photos de moins de 2048 x 2048 et vidéos de moins de 15 mn sont exclus du calcul, mais pas l’espace pris par vos mails et surtout les pièces jointes.
– Il est possible sans trop de difficultés d’augmenter le maximum officiel des offres gratuites de stockage, mais pas de travailler en groupe dessus si c’est par combinaison de solutions différentes :
- utiliser les Go supplémentaires offerts pour les parrainages de nouveaux utilisateurs, particulièrement chez Dropbox où on peut arriver au total à 22 Go gratuits
- utiliser plusieurs solutions de cloud séparément. Serge Paulus, par exemple, arrive ainsi à 75 Go gratuits [17]
- il existe aussi une solution gratuite pour gérer Dropbox, Box, OneDrive, Google Drive et d’autres depuis un seul service : MultCloud [18]
- in fine, surtout si on gère un groupe important (plus de 10 personnes) pour des besoins professionnels, il est recommandé de passer à une offre Pro payante. Non seulement pour partager sans problème mais aussi pour augmenter la sécurité (niveaux d’accès différenciés etc.).
Notes
[1] The devil is in the details.
[2] Pour certains de ces détails, ils sont rappelés dans un comparatif un peu ancien (juillet 2013) mais assez franc écrit par la SSII américaine Aptera. Ce n’est pas Google qui m’a indiqué ce comparatif mais une lecture attentive des commentaires sous un article de Cnet.
[3] Microsoft et Dropbox nouent un partenariat autour d’Office / Vincent Hermann, NextInpact 4 novembre 2014.
[4] Communiqué Dropbox, 4 novembre 2014.
[5] Extrait des CGU Microsoft :
« 3.2. [...] Vous déclarez et garantissez que, pendant la durée du présent Contrat, vous disposez (et disposerez) de tous les droits nécessaires par rapport au Contenu que vous téléchargez ou partagez sur les Services et que l’utilisation du Contenu, tel que couvert dans ce paragraphe, n’enfreint aucune loi et ne porte pas atteinte aux droits de tiers.
3.3. Que fait Microsoft avec mon Contenu ? Lorsque vous transmettez ou téléchargez du Contenu vers les Services, vous octroyez à Microsoft le droit d’utiliser gratuitement ce Contenu dans le monde entier, selon les besoins [...] pour vous protéger et pour améliorer les produits et services Microsoft. »
[6] Extrait des Conditions d’utilisation de Google au 30 avril 2014 :
« Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à ou à travers de nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’oeuvres dérivées (des traductions, des adaptations ou d’autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d’affichage public ou de distribution publique desdits contenus. Les droits que vous accordez dans le cadre de cette licence sont limités à l’exploitation, la promotion ou à l’amélioration de nos Services, ou au développement de nouveaux Services. Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d’utiliser nos Services (par exemple, pour une fiche d’entreprise que vous avez ajoutée à Google Maps). Certains Services vous proposent le moyen d’accéder aux contenus que vous avez soumis à ce Service et de les supprimer. Certains Services prévoient par ailleurs des conditions ou des paramètres restreignant la portée de notre droit d’utilisation des contenus que vous avez soumis aux Services en question. Assurez-vous que vous disposez de tous les droits vous permettant de nous accorder cette licence concernant les contenus que vous soumettez à nos Services.
Nos systèmes automatisés analysent vos contenus (y compris les e-mails) afin de vous proposer des fonctionnalités pertinentes sur les produits, telles que des résultats de recherche personnalisés, des publicités sur mesure et la détection des spams et des logiciels malveillants. Cette analyse a lieu lors de l’envoi, de la réception et du stockage des contenus. »
[7] Délibération de la formation restreinte de la CNIL n°2013-420 du 3 janvier 2014 prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
[8] Dropbox dérape : sécurité et confidentialité de liens privés ? / Jérôme Vosgien, blog Sophos 9 mai 2014. Une faille de sécurité Dropbox laisse les comptes accessibles / Emilien Ercolani, L’Informaticien 21 juin 2011. Dropbox : 7 millions de mots de passe volés, à qui la faute ? / Florence Santrot, MetroNews 14 octobre 2014. Dropbox corrige la faille de sécurité touchant les documents partagés, Izitech 8 mai 2014.
[9] Stockage en ligne : les alternatives à Dropbox / Fabien Soyez, techniques de l’Ingénieur 25 septembre 2014.
[10] Spideroak est le seul service de cloud recommandé par l’ex-agent de la NSA Edward Snowden.
[11] Wuala, également cité par Edward Snowden, a fermé mi-2015.
[12] 5 Essential Privacy Tools For The Next Crypto War / Jon Matonis, Forbes.com 19 juillet 2012.
[13] Five free Dropbox tools you’re not using (but should be) / Liane Cassavoy, PCWorld 29 août 2013.
[14] Utiliser GPG dans Thunderbird pour envoyer des e-mails chiffrés / Timo Van Neerden, Le Hollandais Volant 12 octobre 2014. NB : les tutoriels du Hollandais Volant sont clairs et extrêmement utiles.
[15] 5 Tools to Encrypt Files for Dropbox, Salesforce, Office365 + More / Mellisa Tolentino, SiliconAngle 25 septembre 2014.
[16] Article 2.1 du Contrat de services Microsoft (leurs CGU).
[17] Solutions de backup Cloud – un tour d’horizon / Serge Paulus, non daté.
[18] MultCloud : gérer Dropbox, Box et Google Drive depuis un seul service / Fredzone, PresseCitron 4 novembre 2013.
Commentaires
11 commentaires
Clouds : le diable est dans les détails
Bonjour,
J’avais choisi Wuala parce que serveurs en Suisse et mot de passe uniquement en ma possession.
Wuala a supprimé, sans prévenir, l’accès aux données depuis le web.
Donc en déplacement, je ne peux plus me connecter pour accéder directement mes données. Franchement handicapant.
Wuala n’a pas l’intention de rétablir cette fonctionnalité.
Alors je cherche autre chose.
Savez-vous si SpiderOak permet ce type d’accès ?
Merci
Clouds : le diable est dans les détails
Peut-être Tresorit : une version pur navigateur web est prévue pour avril ou mai 2015, sans compromis sur la sécurité selon le service support.
Tresorit
Tresorit a bien mis en service un accès pur web.
Clouds : le diable est dans les détails
Bonjour,
J’ai reçu un courriel lundi 17 août de WUALA m’informant de l’arrêt du service en novembre 2015 ! (je vous transmets ce courriel par mail).
Retour à la case départ, donc.
Tresorit (hongrois) ou Teamdrive (allemand) semblent répondre à mes critères : "fonction pur web", serveurs en Europe (à défaut de France).
Box semble pas mail, mais serveurs aux USA.
Avez-vous de l’expérience avec l’un ou l’autre ?
Merci
Cloud : le diable est dans les détails
Pourquoi ne parlez-vous pas du tout de OVH/hubiC sous législation française avec synchronisation et 25 GO gratuits sur toutes plateformes, y compris Linux ? Merci.
Snowden a dénoncé Dropbox par rapport à l’espionnage (qui est surtout industriel), Google est souvent montré du doigt pour les mêmes raisons. En cas de soucis, la législation européenne ne fonctionne pas !
Re : hubiC (OVH)
Bonjour,
Je parle de l’offre cloud d’OVH dans le premier article de cette série de trois, pour ne pas la retenir : voir Mettre ses fichiers ou ceux d’un groupe dans le cloud : quelle application choisir ? et la note de bas de page. A l’époque de la première version du premier article de la série, ses fonctions de synchronisation n’étaient pas au point. Qu’en est-il aujourd’hui selon vous ?
Re : hubiC (OVH)
Bonjour,
L’article auquel vous faites référence dans votre blog date de fin 2014. Depuis, il y a eu des progrès (Mars 2015) ; j’utilise hubiC et j’en suis très satisfaite que ce soit en mode "synchronisation" classique ou en mode "sauvegarde". De plus, je pense que, niveau "sécurité des données", la législation française est plus sure.
Note : Je l’utilise sur Windows, Linux (avec l’application Lubix pour l’interface graphique), Smartphone sous Android avec l’appli hubiC. Je n’ai pas testé Mac.
Bonne journée
Jeanne
Re : hubiC (OVH)
Hubic n’a pas d’intérêt car il lui manque juste les fonctions intéressantes collaboratives (vrai dossier partagé). Encore la preuve que ce n’est pas la taille qui compte.
Cloud : le diable est dans les détails
Je trouve les arguties sur la sécurité de Dropbox un peu faciles : parmi les liens divers, un seul est une vrai faille de sécurité et a eu lieu en 2011 (soit avant l’arrivée des autres cloud concurrent) : ils pâtissent d’être les plus anciens donc l’histoire la plus vieille. Le reste est soit pas du tout une faille (quand il faut un accès physique à l’ordi), soit une agitation sans preuve (7 millions de mot de passe). Je cherche des preuves de vrai compte piraté (comme l’histoire iCloud) et je n’en ai jamais trouvé. Au passage, même remarque pour iCloud que je n’apprécie pas pour autant : le piratage évoqué dans l’article mis en lien ressemble plutôt à du piratage social que de la force brute. Ils ont depuis mis en place une authentification double facteur.
Cloud : le diable est dans les détails
Merci pour vos remarques — que je ne me permettrai pas de traiter d’arguties ;-)
Cloudfogger out
Cloudfogger : cette solution de cryptage dans le cloud à été arrêtée.
Laisser un commentaire