Le service de stockage ‘cloud’ Dropbox a menti sur la confidentialité

Des collaborateurs du service de stockage dans le nuage Dropbox peuvent lire toutes les données stockées, et ce malgré les promesses allant dans le sens contraire. Les connexions avec les appareils mobiles semblent ne pas être sécurisées non plus.

Des collaborateurs du service de stockage dans le nuage Dropbox peuvent lire toutes les données stockées, et ce malgré les promesses allant dans le sens contraire. Les connexions avec les appareils mobiles semblent ne pas être sécurisées non plus.

“Même nos propres collaborateurs ne peuvent ouvrir les fichiers”, avait promis Dropbox, ce fournisseur américain de stockage de fichiers dans le nuage. Dans notre récent test de ce genre de services (voir Data News n° 21 de l’année dernière), nous avions tenu ces propos positifs à propos desdites promesses: “Toutes les données sont sécurisées par le cryptage AES-256, et toutes les transmissions sont protégées SSL.”

Tel ne semble donc pas être le cas. L’agrégé américain Christopher Soghoian a démontré que Dropbox peut effectivement visionner le contenu de tous les fichiers. La raison est d’ordre technique. Dropbox exploite en effet un petit truc pour économiser de l’espace. Il attribue un code unique à chaque fichier. Si deux utilisateurs placent le même fichier dans leur Dropbox, un seul exemplaire en est physiquement conservé. Une réduction de l’espace de stockage signifie des frais moindres et offre donc à Dropbox un avantage compétitif sur ses concurrents tels Wuala. Mais Dropbox ne peut évidemment appliquer ce petit truc que s’il peut lire entièrement les fichiers. Admettons-le, cela se fait par un programme informatique, mais cela pourrait tout aussi bien se faire par un collaborateur, une personne extérieure, la Justice ou un service secret.

Dropbox a à présent adapté ses conditions. Avant, le service promettait que tous les fichiers étaient cryptés AES-256 et étaient inaccessibles sans le mot de passe de l’utilisateur. A présent, voici ce qu’on trouve: “tous les fichiers stockés sur les serveurs Dropbox sont cryptés (AES 256)”, mais l’entreprise ne parle plus d’inaccessibilité. Elle admet aussi explicitement que les données sont bien visibles pour “un petit nombre de nos collaborateurs qui doivent avoir accès à ces données… quand ils y sont contraints par la loi”.

Cela ne s’arrête pas là. Dropbox affirmait précédemment aussi que les connexions aux clients mobiles étaient cryptées HTTPS. Mais tel ne semble à présent pas être le cas dans la pratique. La Federal Trade Commission (FTC) a ouvert une enquête non pas à cause d’une violation des règles de respect de la vie privée, mais bien parce que Dropbox se serait éventuellement rendue coupable de concurrence déloyale…

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire