Appuyez sur Entrée pour voir vos résultats ou Echap pour annuler.

Facilité d’utilisation, sécurité, cryptage des données, suite complète ...

Mettre ses fichiers ou ceux d’un groupe dans le cloud : quelle application choisir ?
Google Drive, Box, OneDrive, Dropbox. Mais aussi les outsiders : Mega, TeamDrive, Tresorit, SecureSafe ...

Cet article est le premier d’une série de trois sur les solutions de cloud. Les deux suivants :

J’ai dû choisir en 2014-2015 une solution de cloud et de travail en ligne pour un groupe de 15 personnes devant travailler activement ensemble. Il ne s’agissait donc pas seulement de passer en revue les solutions de stockage en ligne mais aussi celles de partage de fichiers et de communication.

La sélection

Ne vous faisons pas languir. Voici les solutions que l’on peut recommander quand on privilégie l’aspect travail en groupe, la gratuité, la richesse des fonctionnalités et le côté pratique (*pas* la sécurité) — pour les arguments détaillés, voir infra :

  • Dropbox pour la facilité d’utilisation. Pas pour la sécurité
  • Google Drive pour la richesse des outils associés (GMail, Google Groups et la suite bureautique de Google) et pour le prix si on passe en version payante. Google Drive, en version gratuite, a été notre choix
  • Box pour les fonctions dédiées aux professionnels et l’intégration de Microsoft Office Online
  • OneDrive de Microsoft (ex-SkyDrive), uniquement si on possède déjà la suite Office sur son PC et qu’on est un aficionado MS
  • TeamDrive, Tresorit et SecureSafe pour la sécurité des données
  • Mega principalement sur le critère du volume de stockage gratuit.

NB : les solutions supra ne sont pas sécurisées à 100%, c’est-à-dire de bout en bout — du serveur au terminal en passant par la connexion. A l’exception de Mega — mais il est loin d’être le seul service de cloud sécurisé de bout en bout (voir plus bas).

Les arguments

Pour m’aider, j’ai commencé par lire la presse et autres ressources Internet, plus ou moins bien référencées par ... Google (voir la webliographie en fin d’article).

Puis avec l’aide d’un informaticien de SSII — pas plus spécialiste du sujet au départ que votre serviteur — je me suis lancé dans des tests. Nous sommes ainsi devenus des presque-spécialistes du sujet !

Pour résumer ces articles — leurs commentaires compris :

  • Dropbox est le plus facile à installer et à utiliser, le plus intuitif. Il garde les anciennes versions de vos documents et permet aussi de récupérer ceux supprimés (comme la Corbeille de Windows). De plus, Dropbox et la suite bureautique (version web) Office Online de Microsoft sont devenus interopérables fin avril 2015 (il faut toutefois avoir un compte Office Online d’un côté et de l’autre un compte Dropbox).
    Mais il est moins adapté à un fonctionnement collaboratif et les remarques sur son manque de sécurité sont nombreuses
  • Google, Box et OneDrive (Microsoft) sont bien plus complets que Dropbox (et autres concurrents). Pour reprendre la formule d’un article du JDN de février 2014 : « Google et Microsoft ont placé la bureautique et le collaboratif autour du document au centre de leur stratégie, ce n’est pas le cas de Dropbox, un pure player du stockage cloud »
  • A cet égard, la solution de Google offre une suite longue comme le bras de produits, qui plus est gratuite tant qu’on reste en dessous de 15 Go de stockage : messagerie (GMail), liste de diffusion/groupe de discussion (Google Groups), stockage de fichiers en ligne avec possibilité de partage (Google Drive), suite bureautique — avec Google Docs (traitement de texte), Google Sheets (tableur) et Google Slides (présentations, compatibles avec Powerpoint) — mais aussi Agenda, blog (Blogger), photos (Picasa), cartes (Google Maps), réseau social (G+, justement) ...
    Sans oublier que que Drive est en général considéré comme « médaille d’or de la vitesse de transfert [upload] de fichier ».
    Et que l’on peut modifier un document à plusieurs en même temps dans la suite bureautique de Google, mais pas dans Dropbox par exemple
  • Box : 10 Go gratuits, très orienté besoins professionnels et travail collaboratif (possibilité de publier des commentaires et attribuer des tâches sur les fichiers), il offre appli mobiles iOS et Android disponibles. Box est un outsider si on se réfère au nombre d’utilisateurs mais pas si on se situe dans le milieu des services cloud pour professionnels.
    Le seul grand manque qui existait dans cette offre, selon le JDN, pour une solution qui s’adresse aux professionnels, était l’absence d’outils d’édition des documents en ligne, autrement dit de logiciels bureautiques en ligne accessibles directement dans le navigateur web [1]. Ce manque a été comblé mi-juin 2015 grâce à un accord entre Box et Microsoft : Office Online (version Web) est désormais intégré dans Box (Office était déjà intégré dans la version PC)
  • OneDrive est recommandé pour les aficionados de Microsoft et ceux qui possèdent déjà la suite bureautique Office sur leur ordinateur. Toutefois, les commentaires mettent en cause sa vitesse de synchronisation sur les divers appareils et sa gestion des noms de fichiers longs ou comportant des espaces. Sur certains aspects fonctionnels et si on considère les offres payantes, l’offre OneDrive Pro de Microsoft est plus évoluée que celle de Google
  • Les outsiders vraiment intéressants :
    • pas sécurisés de bout en bout :
      • Copy : aussi simple que Dropbox, en légèrement mieux mais quelques bugs [2]. Appli Android et iOS
      • Bitcasa : 20 Go gratuits, très cité et apprécié par les particuliers outre Manche même si les journalistes et évaluateurs professionnels ne l’apprécient pas autant. Apps iPhone ou iPad et Android
    • sécurisés de bout en bout :
      • Mega : le successeur "clean" du sulfureux Megaupload offre 50 Go gratuits. Très populaire, encrypté de bout en bout [3], c’est lui qui offre le maximum de stockage en ligne gratuit. Appli mobiles Android et iPhone
      • TeamDrive (Allemagne), que le site spécialisé Cloudwards.net semble apprécier :
        • il encrypte lui aussi les documents sur les serveurs et en local
        • le service offre 2 Go gratuits et une appli pour iPhone et iPad (pas pour Android)
        • ses fonctionnalités sont très riches et tournées vers les entreprises
        • Apps iOS et Android disponibles
      • Tresorit (Hongrie, Suisse) résulte du travail de développeurs hongrois spécialisés à l’origine dans la sécurité informatique et est apprécié lui aussi par Cloudwards.net :
      • SecureSafe : le Web manque de littérature récente sur ce service suisse sécurisé comme les précédents de bout en bout. A priori, je luis vois pas mal d’avantages :
        • il existe depuis 2011
        • une version pur navigateur web existe, ainsi que les apps Android et iOS
        • il est honnête sur ses conditions générales, qu’il met clairement en avant (cf infra les limitations de responsabilité de ces services)
        • des deux services européens sécurisés de bout en bout — lui et Tresorit —, c’est SecureSafe (ses serveurs sont en Suisse) le moins onéreux
        • il offre une version gratuite avec 100 Mo de stockage (ce qui est peu, il est vrai, et beaucoup moins que Tresorit, mais suffisant si on se limite aux fichiers critiques) et 50 accès à d’autres personne pour partager les données
        • il est tourné vers les entreprises, notamment la finance : il est utilisé par des banques et assurances suisses. Sa version payante professionnelle offre une messagerie sécurisée, fonctionnalité non offerte par ses concurrents.
Tresorit : bientôt une interface pur web selon le service support

Sécurité : chiffrement, mot de passe ... Déterminante ?

Comme l’explique le site de l’éditeur Techniques de l’Ingénieur, « les données stockées sur Google Drive et OneDrive sont chiffrées lors de leur transfert vers les serveurs. Mais une fois dans le Cloud, ces données sont stockées en clair — sauf pour la version professionnelle de OneDrive. Dropbox, Box [et Mega] chiffrent les données stockées, mais détiennent les clés de chiffrement, ce qui leur permet d’accéder aux données des utilisateurs, même chiffrées. » [5]

Seuls TeamDrive et Tresorit, donc, pratiquent le "zero-knowledge data storage" : la clé de chiffrement, le mot de passe n’est pas stocké sur leurs serveurs, ils ne le connaissent pas, celui-ci ne peut donc a priori pas être compromis par des pressions policières et de services secrets [6] ou par une faille de sécurité de leur côté. La seule chose sur le plan technique qui peut empêcher de leur faire confiance les yeux fermés est que le code de ces applications n’est pas open source, donc non vérifiable.

Une fois cela dit, le problème de la sécurité, pour diminué qu’il est, demeure :

  • quid de l’ordinateur mal sécurisé et donc hacké ou de l’utilisateur qui utilise un mot de passe faible [7] ?
  • autre limite : les conditions générales (le contrat, donc) de ces services, même ceux sécurisés de bout en bout, précisent que le service garantit ses méthodes de sécurisation mais pas la sécurité des données entreposées. Exemple : celles de Tresorit, voir article X.2. En clair : ces coffres-forts pour fichiers excluent expressément toute responsabilité de leur part au cas où vos données seraient détruites ou hackées.

Et la valeur d’une solution de cloud aux yeux du grand public et des utilisateurs professionnels ne dépend pas que de son degré de sécurité. Loin de là : le critère de choix principal semble être l’ergonomie — on l’a bien vu plus haut — et son écosystème (applications, communauté, développeurs) [8]. C’est dans ce dernier domaine
plus qu’ailleurs, que Google et Microsoft marquent des points.

Les raisons du choix de Google Drive

Pour ce groupe de travail, nous avons donc choisi Google Drive + GMail + Google Groups + sa suite bureautique (Docs, Sheets).

Malgré certaines limites ergonomiques — décrites dans le deuxième article de la série [9] — et son manque relatif de confidentialité, la solution Google a été retenue parce que :

  • "mainstream". Donc une solution établie, ne risquant pas de capoter en cours d’utilisation, et comportant une très importante communauté d’utilisateurs, donc de personnes susceptibles de nous dépanner dans les forums
  • complète  : tout en un ou presque
  • Drive permet le partage de dossiers
  • et mon "collègue" m’a fait remarquer les nombreux problèmes de sécurité de Dropbox (voir Cloud : le diable est dans les détails).

Mais la difficulté au début de nos utilisateurs non informaticiens ni "geeks" à se débrouiller seuls a bien failli nous ramener à Dropbox ... Il leur a fallu 20 mn de formation, un bon mois de pratique et pas mal de conseils par oral pour être tous rodés. Et encore ...

Enfin, si nous avions eu de gros risques de sécurité, nous aurions envisagé Box (version payante). Cela dit, le code de TeamDrive n’est pas open source et ne peut donc pas être vérifié. Idem pour Box.

Après les tests et le choix de notre solution, il s’est avéré que parmi les ressources consultées (voir webliographie infra), le tutoriel de Sciences Po a été réellement le plus pragmatique (mais pas tout à fait à jour). En effet, il est le seul à aborder concrètement les possibilités de partage des dossiers entre plusieurs utilisateurs. Le "truc" le plus important qu’il explique est l’utilisation de l’adresse mail d’un Google Group pour partager d’un coup un dossier avec un (gros) ensemble d’utilisateurs Google. L’avantage de partager avec un Google Group est qu’il suffit à l’administrateur du Google Group d’ajouter ou supprimer une adresse GMail pour donner ou interrompre l’accès aux dossiers partagés.

Quelques conseils

 Ne pensez pas que "gratuit", pensez aussi "besoins". Listez vos besoins, notamment sur le partage des fichiers et les solutions de communication au sein du groupe.

 Renseignez vous sur les solutions envisagées. La littérature Internet peut s’avérer suffisante, à condition de mener une recherche approfondie et de beaucoup lire. Quelques discussions en ligne (par mail ou sur un forum) ou IRL [10] vous aideront souvent à trancher à condition de détailler votre question.

 Testez la solution que vous pensez retenir *avant* de travailler dessus. Au moins pendant deux semaines et sur toutes ses fonctionnalités. Surtout si c’est pour un travail en groupe, car dans ce cas vous aurez énormément de mal à revenir en arrière.

 Quelque soit la solution choisie, formez-vous et formez vos utilisateurs. Ce qui peut vous sembler évident semblera invisible ou très compliqué à quelqu’un d’autre. Exemple avec les applications de Google : Drive, GMail ... [11]

Solutions non prises en compte

Note importante : j’ai choisi de ne pas prendre en compte les services suivants :

  • iCloud (ex-mobile.me), exclu tout simplement parce qu’il n’est accessible qu’aux détenteurs d’un matériel Apple (iPhone, iPad, Mac) et que c’est une application de cloud incomplète. Comme le dit un commentaire : « Le but d’Apple est de permettre l’échange de fichiers entre applications iOS ou ordinateurs, pas de vraiment de remplacer ou concurrencer Dropbox » [16]. Pour finir, comme Dropbox hélas, il est la cible d’attaques répétées [17]
  • Amazon Cloud Drive, exclu car incomplet lui aussi. Il ne propose que deux solutions de cloud : une pour les documents et photos et une réservée aux fichiers MP3 des clients d’Amazon. Mais dans le stockage pur, c’est un acteur à considérer. Ceci dit, au vu de certains signes [18], cette situation pourrait bien évoluer à l’avenir.

Webliographie

Pour d’autres solutions de stockage dans le cloud, voyez :

Notes

[1Personnellement, je pense que des professionnels sont généralement équipés d’un ordinateur portable, avec dessus une suite bureautique, donc ça ne me semblait pas si gênant.

[2Copy considère un raccourci comme un vrai dossier Windows et s’il tombe dessus cherche à synchroniser tout le contenu derrière ...

[3Toutefois, il ne conserve qu’une seule instance d’un fichier en doublon/triplon/etc. pour *tout* le service. Ce qui signifie qu’il tient une liste des comptes ayant par exemple un gros fichier comme un film, ce qui pose certains problèmes en termes de sécurité comme de confidentialité.

[4Can file sharing ever be truly secure ? Tresorit claims the edge / Steve Brooks, Business-cloud.com 13 octobre 2014. Tresorit Launches Its Secure Sync And Share Product For Business / Ben Kepes, Forbes.com 18 août 2014.

[5Stockage en ligne : les alternatives à Dropbox / Fabien Soyez, Techniques de l’Ingénieur 25 septembre 2014.

[6En effet, les services américains et britanniques ont développé deux outils de cassage des cryptages, notamment du SSL : Bullrun et Edgehill. Il peut donc leur suffire d’obtenir un accès aux serveurs. Revealed : how US and UK spy agencies defeat internet privacy and security / James Ball, Julian Borge, Glenn Greenwald, Guardian Weekly 6 septembre 2013. N.S.A. Able to Foil Basic Safeguards of Privacy on Web / Nicole Perlroth, Jeff Larson, Scott Shane, NYTimes.com 5 septembre 2013.

[7Pour construire un mot de passe fort, voyez les recommandations de Microsoft et celles de l’Agence nationale de sécurité des systèmes d’information (ANSSI) (PDF, 2012).

[8’Secure’ Cloud File Sync Is The Wrong Move / Jonathan Feldman, InformationWeek 16 août 2014.

[10IRL : "In Real Life" = dans la vraie vie.

[12Leurs serveurs sont basés en France, ce qui peut éviter les pressions des services américains ... mais pas forcément ceux des français.

[13Faites de hubiC une solution de "backup" ! / Edouard Pugnier, tazintosh.com 17 septembre 2014. Un article remarquable, très complet. Les conclusions de l’auteur sur la synchronisation dans hubiC sont très claires : « En synchronisation, c’est à dire dans le mode de fonctionnement sur lequel le service est bâti aujourd’hui (comme Dropbox, Copy, etc.), il y a de trop nombreux bugs et problèmes de fiabilité. La vérité, triste à accepter, est que depuis trois ans, les utilisateurs que nous sommes jouons le rôle de beta testeurs. Le forum hubiC témoigne des problèmes régulièrement rencontrés, dont entre autres : fichiers supprimés qui réapparaissent ; documents supprimés ; effacement de fichiers et dossiers impossible ; synchronisation non réalisée ; quota erroné ; nombreux points où l’intervention du support est "physiquement" nécessaire ; actions (ex. : déplacement de dossiers) liées à la session utilisateur avec la WebApp ; lenteur, pardon — l e n t e u r — générale des actions, notamment causée par la technologie (OpenStack Swift [une alternative open source aux API BtoB d’Amazon]) ; pas de versionning ; et j’en passe ... »
On peut aussi relever ce comparatif de hubiC, Drive et Dropbox qui montre que hubiC est à la traîne derrière les deux autres pour la vitesse de chargement (upload).

[14Bilan accablant pour Numergy et Cloudwatt / Channelnews.fr, InformatiqueNews 1er octobre 2014.

[15Didier Renard, le nouveau PDG de Cloudwatt, à ChannelBP : « C’était une bêtise de lancer la Cloudbox, une offre de type SaaS que nous avions monté avec Ftopia. Nous allons l’arrêter progressivement. [...] Cloudwatt n’investit plus du tout dans le SaaS. »

[17Apple confirme un piratage chinois d’iCloud / Johann Duriez-Mise, Europe1.fr avec AFP, 23 octobre 2014

[18Amazon and Google are in an epic battle to dominate the cloud—and Amazon may already have won / Christopher Mims, Quartz 16 avril 2014 (cet article parle du cloud BtoB, pas de celui pour les particuliers). Amazon Cloud Drive Gets Its Own APII / Sarah Perez, TechCrunch 11 novembre 2014.

[19Guide présenté et commenté sur Serendipidoc et ici même.