SecurWeb #3 : Stocker ses fichiers en ligne en toute sécurité

Les atteintes à la vie privée sont très nombreuses lorsque vous êtes connectés à Internet. Qu’il s’agisse de la surveillance gouvernementale – française ou étrangère — ou bien de la revente de vos données, il est fondamental de protéger sa vie privée sur Internet. Breizh-Info a déjà publié plusieurs articles sur le sujet. Nous avons récemment lancé une série dédiée à cette problématique : SecurWeb.

Le premier épisode traitait du choix du navigateur internet le plus sécurisé.

Le second était dédiée au cryptage partiel des connexions internet, via l’usage d’un VPN. Aujourd’hui, nous allons évoquer le stockage en ligne (« cloud ») de vos fichiers sensibles.

Des solutions classiques peu satisfaisantes

Les solutions d’hébergement de fichiers en ligne ont généralement compris que la sécurité était une demande forte de la part des utilisateurs. C’est pourquoi les grandes plateformes de « cloud » proposent un chiffrement des fichiers sur leurs serveurs.

Dropbox, le leader du marché utilise ainsi l’AES-256, une méthode de cryptage solide. Reste que Dropbox, comme d’autres acteurs « grand public » possède une double faille énorme :
– Les clefs de déchiffrement sont possédées par l’entreprise
– L’entreprise ou ses serveurs sont situées dans un pays ayant une législation dangereuse pour la confidentialité des données (en l’espèce, les Etats-Unis).

Par ailleurs, outre cette double faille – rédhibitoire pour ceux qui veulent préserver leur vie privée ou la confidentialité de leurs données professionnelles – Dropbox a déjà été victime d’une fuite de données en 2016 avec le vol de plusieurs dizaines de millions d’identifiants et mot de passe.

Des alternatives intéressantes

Des alternatives plus sécurisées existent comme Mega (anciennement MegaUpload) ou SpiderOak.

Bien entendu, toutes ces solutions sont payantes. Mais lorsqu’on tient à sa vie privée, lorsque l’on veut héberger des dossiers sensibles que l’on veut protéger (militantisme politique, données personnelles d’une clientèle, données médicales, etc.) il est absolument nécessaire de passer par une solution payante.

Mega propose une solution qui s’affranchit des failles potentielles de Dropbox en affirmant ne pas pouvoir déchiffrer les données chiffrées stockées sur ses serveurs. C’est la clef maîtresse, créée à la fin du processus d’inscription, qui garantit cela. Reste que la clef de chiffrement ne peut pas être modifiée pour être renforcée ou en cas de diffusion de celle-ci.

De plus, l’authentification à deux facteurs (validation de la connexion via un code envoyé par SMS ou une application dédiée) n’est pas disponible.

SpiderOak est également une option intéressante, notamment car elle pousse très loin le cryptage des données stockées sur ses serveurs. En 2014, Edward Snowden conseillait même d’utiliser ce service plutôt que Dropbox.
Mais SpiderOak est basée aux Etats-Unis. Se posent donc inévitablement les questions de l’influence potentielle des services de renseignement américaines, sans parler de la législation américaine qui permet de graves atteintes à la vie privée.

La meilleure solution : TresorIt

TresorIt est la solution la plus pertinente.
Comme pour certains de ses proches concurrents, les fichiers sont cryptés en local (sur l’ordinateur de l’utilisateur) avant d’être envoyé sur les serveurs de TresorIt. Le cryptage utilisé est l’AES-256, un format standard robuste.

Ce qui change de la concurrence est que le contenu des fichiers est bien inaccessible par les administrateurs grâce à un protocole de cryptage « Zero Knowledge ».
Un concours de piratage est mis en place depuis plus d’un avec 50 000 $ à la clef pour celui qui arriverait à déchiffrer les fichiers sur les serveurs. Pour l’instant, aucun spécialiste du piratage informatique n’a réussi.

Mieux, l’entreprise est basée en Suisse et en Hongrie, comme le VPN Proton que nous vous avons récemment conseillé. On ne fait tout simplement pas mieux que la Suisse sur le continent européen pour protéger les données des utilisateurs. De toute manière, sauf à ce que le cryptage soit percé – ce qui est peu probable en l’état –, les administrateurs ne pourraient donner comme information que l’identité des possesseurs du compte, sans rien pouvoir dire sur le contenu des fichiers.

Une possibilité gratuite à envisager : Cryptomator

Cryptomator est un logiciel qui crypte vos données en AES-256 tout en les envoyant sur votre service de « cloud » (Dropbox, Mega ou autre). C’est une manière détournée de chiffrer vos documents.

Voici une vidéo expliquant très clairement le fonctionnement de Cryptomator.

Point positif : le logiciel est gratuit et permet d’utiliser toutes les plateformes de Cloud, y compris Dopbox, avec un niveau de sécurité satisfaisant. Les plateformes seront incapables de lire vos données cryptées, même avec leur clef de déchiffrement.

Crédit photos : DR
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine