Dans quelle mesure Dropbox, OneDrive, Google Drive et iCloud sont-ils sécurisés?

Ces jours-ci, nous avons tous d'énormes quantités de documents texte, chansons, photos, vidéos et autres données personnelles que nous voulons protéger. Le stockage local de nos données peut être risqué car un disque dur peut devenir corrompu et un appareil mobile peut être perdu, volé ou cassé.

Des rapports ont même fait état de personnes perdant toute leur collection de photos lors de la mise à jour de leur système d'exploitation Windows, à leur grand désespoir. Le stockage de données en ligne est un excellent moyen de se protéger contre ce type de perte, mais le stockage dans le cloud est sécurisé?

Lorsqu'il s'agit de sauvegarder des données en ligne, il existe plusieurs services clés que les gens ont tendance à utiliser. Ces être; Google Drive, Dropbox, OneDrive et iCloud. Dans cet article, nous examinerons ces services de stockage populaires et examinerons comment ces services de stockage cloud sont réellement sécurisés..

Google Drive est-il sécurisé?

Google Drive est un moyen simple et efficace de sauvegarder des données dans le cloud et, comme il est disponible gratuitement (jusqu'à 5 Go de stockage) avec un compte Gmail, il est extrêmement populaire.

Cependant, pour les personnes qui sauvegardent des documents sensibles, des inquiétudes peuvent exister quant à la sécurité de Google Drive. Après tout, des preuves ont déjà fait surface montrant que Google travaillait main dans la main avec la NSA dans le cadre de son programme de surveillance PRISM. Alors, quel type de sécurité Google Drive offre-t-il vraiment? Si vous envisagez d'utiliser Google Drive comme option, consultez notre avis sur Google Drive.

En transit

Le premier risque de sécurité possible pour vos données est lors de la transmission. Lorsque vous téléchargez vos données sur les serveurs centraux de Google, elles doivent y voyager via Internet, ce qui signifie qu'elles pourraient être interceptées pendant le transport..

Pour éviter cela, Google crypte vos données à l'aide de TLS avant de télécharger vos données. Il s'agit de la même norme de chiffrement que celle utilisée pour sécuriser les connexions du navigateur aux sites Web HTTPS. Une vérification rapide avec l'outil d'audit de chiffrement indépendant Qualys SSL Labs révèle que les connexions TLS de Google sont notées A + (ce qui est aussi bon que possible).

Google crypte également vos données chaque fois qu'elles transitent au sein de son réseau interne. Cela signifie que vos données sont toujours cryptées lorsqu'elles passent d'un serveur Google à un autre et lors de la synchronisation avec vos différents appareils.

Au repos

Une fois que vos données arrivent avec Google, elles sont cryptées afin de les sécuriser au sein de ses serveurs cloud. Google utilise le cryptage AES 128 bits pour toutes les données au repos. Bien que ce ne soit pas aussi fort que le cryptage 256 bits; il est encore considéré comme une preuve d'avenir pour le moment.

Pour plus de sécurité, Google chiffre les clés de chiffrement AES utilisées pour chiffrer vos données avec un ensemble tournant de clés principales. Cela ajoute une couche de sécurité supplémentaire aux données stockées sur les serveurs de Google.

Google crypte tous vos fichiers "à la volée" pour vous assurer que vos données sont toujours stockées en toute sécurité et que seul le fichier auquel vous souhaitez réellement accéder est décrypté. Cependant, Google détient la clé de vos fichiers en votre nom, ce qui signifie que l'entreprise peut accéder à vos fichiers si elle le souhaite..

Politique de confidentialité

Les conditions d'utilisation de Google stipulent que "vous conservez la propriété des droits de propriété intellectuelle que vous détenez sur ce contenu. Bref, ce qui vous appartient reste le vôtre." Cependant, le cabinet déclare qu'il a le droit d'utiliser votre contenu privé pour améliorer ses services.

Cela signifie que l'entreprise peut numériser vos documents pour trouver des informations et des mots clés afin de mieux vous servir des publicités (à travers ses autres services) - ou d'améliorer autrement ses services et en développer de nouveaux. Étant donné que Google demande votre consentement pour accéder à tout ce que vous téléchargez, il ne peut pas revendiquer la conformité HIPAA.

Google se réserve également le droit de remettre vos données aux autorités en cas de mandat. Cela signifie que le gouvernement américain pourrait accéder à tous vos fichiers et que vous ne le sauriez jamais (en raison des ordres de bâillon). Rien de tout cela n'est idéal et est la principale raison pour laquelle tout service de stockage en nuage qui ne fournit pas de chiffrement de bout en bout ne peut jamais être considéré comme vraiment sécurisé.

OneDrive est-il sécurisé?

OneDrive est un service de stockage cloud populaire fourni par Microsoft. Comme Google Drive, il offre aux utilisateurs 5 Go de stockage gratuit dès qu'ils ouvrent un compte Microsoft. Si vous êtes un utilisateur OneDrive, vous vous demandez peut-être à quel point vos données sont sécurisées. Alors jetons un coup d'œil…

En transit

Les données transmises au stockage cloud OneDrive de Microsoft sont chiffrées avec le chiffrement TLS à l'aide de clés de 2048 bits. Il s'agit d'un cryptage robuste qui garantit que vos données sont protégées contre les pirates et le suivi pendant le transit.

Afin de sécuriser vos données lors de leur passage d'un serveur à un autre (Microsoft stocke vos données à plusieurs endroits pour les protéger contre les catastrophes), l'entreprise crypte également vos données avant de les déplacer en interne. Microsoft déclare que "même si les données sont déjà transmises à l'aide d'un réseau privé, elles sont en outre protégées par le meilleur cryptage de leur catégorie".

Au repos

Alors que Microsoft fournit définitivement des informations sur le chiffrement au repos pour les utilisateurs payants «professionnels» de OneDrive. Essayer de trouver des preuves de chiffrement au repos pour les utilisateurs gratuits de OneDrive est plus difficile.

Les utilisateurs professionnels sont informés que BitLocker crypte toutes les données qu'ils stockent sur les serveurs de Microsoft. Le chiffrement par fichier fournit un chiffrement à la volée pour chaque fichier individuel que vous téléchargez. Selon Microsoft, il utilise le cryptage AES 256 qui est conforme à la norme FIPS (Federal Information Processing Standard) 140-2. C'est un cryptage fort.

Malgré la confusion entourant la différence entre les comptes professionnels et personnels, nous ne pouvons que présumer que Microsoft fournit effectivement un cryptage au repos pour tous les utilisateurs OneDrive. Cet article suggère certainement qu'il est vrai:

«Chaque fichier est chiffré au repos avec une clé AES256 unique. Ces clés uniques sont chiffrées avec un ensemble de clés principales stockées dans Azure Key Vault. »

Cette déclaration implique que tous les utilisateurs OneDrive obtiennent un cryptage au repos et que ce cryptage est à la volée. (Bien que ce serait bien si Microsoft expliquait clairement la différence entre les comptes professionnels et personnels).

Cependant, il convient de rappeler que OneDrive est un service de stockage cloud entièrement propriétaire. Il s'agit d'une source fermée, ce qui signifie qu'il est impossible de vérifier la sécurité de vos données. De plus, parce que l'entreprise crypte vos données en votre nom - et qu'elle détient les clés de cryptage sur ses serveurs - elle a la possibilité d'accéder à vos données si elle le souhaite et peut numériser vos documents comme elle le souhaite.

Politique de confidentialité

Comme c'est le cas avec les services de Google, OneDrive de Microsoft est couvert par une politique générale de confidentialité pour tous les produits et services de Microsoft. Cette politique stipule que Microsoft a le droit d'accéder à vos données afin de mieux fournir ses services. Il permet également à l'entreprise d'accéder à vos données à des fins de suivi et de diffusion d'annonces.

La politique de Microsoft rappelle également aux utilisateurs qu'elle se conformera aux mandats du gouvernement s'il lui est demandé de:

«Enfin, nous accéderons, divulguerons et préserverons les données personnelles, y compris votre contenu (comme le contenu de vos e-mails, d'autres communications privées ou des fichiers dans des dossiers privés), lorsque nous croyons de bonne foi que cela est nécessaire pour: 1 .conformez-vous à la loi applicable ou répondez à une procédure légale valide, y compris auprès des forces de l'ordre ou d'autres agences gouvernementales. "

Cela signifie que vos données peuvent être consultées par les autorités à tout moment, et parce que les États-Unis appliquent les ordres de bâillonnement - vous ne serez jamais informé de cette intrusion dans vos données.

Ainsi, comme c'est toujours le cas, si vous souhaitez que vos données soient stockées en ligne en toute sécurité, il est essentiel d'opter pour un service qui offre un véritable cryptage de bout en bout (et qui est open source).

ICloud est-il sécurisé?

iCloud est le service de stockage cloud d'Apple. Comme c'est le service fait maison d'Apple qui est intégré dans ses produits, c'est un service extrêmement populaire parmi les utilisateurs d'Apple. Il est souvent supposé être bon pour la confidentialité et plus sûr que certains de ses concurrents.

Cependant, comme les autres services populaires de cet article, iCloud est une source fermée. Cela signifie que son code source n'est pas disponible pour être audité par des professionnels de la sécurité. Vous n'avez donc qu'à faire confiance à Apple pour fournir le niveau de sécurité qu'il prétend.

Apple avait précédemment révélé (par Edward Snowden) avoir travaillé main dans la main avec la NSA pour espionner ses utilisateurs. Alors, pouvez-vous lui faire confiance? Et iCloud d'Apple est-il vraiment plus sûr que ses concurrents?

En transit

En 2014, Apple a reçu beaucoup de mauvaise presse après une série d'attaques contre les utilisateurs d'iCloud. Selon ces rapports, les connexions aux serveurs iCloud étaient vulnérables à un homme au milieu de l'attaque. Apple a nié cela, affirmant que les victimes avaient effectivement été hameçonnées. Malgré cela, la firme a amélioré la sécurité de son service iCloud.

Apple déclare que toutes les communications avec les serveurs iCloud sont protégées par le cryptage TLS 1.2 avec Forward Secrecy. Nous avons vérifié la sécurité TLS d'iCloud à l'aide de Qualys SSL Labs et avons été heureux de constater que le service obtient un A +. Ainsi, la sécurité des données en transit devrait être bonne.

Pour plus de sécurité, lorsque vous accédez aux services iCloud à l'aide d'applications natives Apple telles que Mail, Calendrier ou Contacts, l'authentification est gérée à l'aide d'un jeton sécurisé. Les jetons sécurisés éliminent la nécessité de stocker votre mot de passe iCloud sur votre appareil ou votre ordinateur. Contrairement à un mot de passe (qui pourrait être utilisé pour se connecter à partir d'un autre appareil), ce jeton ne peut pas être volé car il est lié cryptographiquement à votre appareil (et sans l'appareil, il est inutile).

Nous n'avons pas non plus été en mesure de vérifier le type de protection qu'Apple utilise pour transmettre des données à ses réseaux privés. On pourrait supposer que l'entreprise utilise le cryptage pour transmettre des données entre les serveurs cloud, mais les informations sur le niveau de sécurité ne sont pas disponibles gratuitement.

Au repos

Apple déclare que toutes les données sont stockées sur ses serveurs à l'aide du cryptage AES 128. Ce n'est pas aussi sûr que le cryptage AES 256 fourni par de nombreux services de stockage en nuage, mais il est encore considéré comme une preuve future pour le moment

Le chiffrement de bout en bout est disponible pour certaines données qui sont communiquées aux serveurs d'Apple (Apple utilise le chiffrement de bout en bout pour iMessages et FaceTime, et pour les données personnelles, les données de santé, le trousseau iCloud, les informations de paiement, le vocabulaire appris par clavier Quicktype, temps d'écran, informations Siri et informations sur le réseau Wi-Fi).

Cependant, il n'est pas disponible pour les fichiers individuels transmis à iCloud. Cela signifie qu'Apple conserve le contrôle sur les clés de cryptage des fichiers qu'il crypte en votre nom sur son stockage cloud. C'est loin d'être idéal car cela signifie que les clés de vos données pourraient être consultées par le personnel d'Apple, divulguées en ligne ou peut-être même piratées de ses serveurs par des cybercriminels..

Politique de confidentialité

La politique de confidentialité d'Apple indique clairement que les données utilisateur iCloud sont accessibles dans certaines circonstances:

«Nous utilisons également des informations personnelles pour nous aider à créer, développer, exploiter, livrer et améliorer nos produits, services, contenus et publicités, ainsi qu'à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons également utiliser vos informations personnelles à des fins de comptabilité et de sécurité du réseau, notamment pour protéger nos services au profit de tous nos utilisateurs, et pour présélectionner ou analyser le contenu téléchargé pour le contenu potentiellement illégal, y compris le matériel d'exploitation sexuelle des enfants. »

Comme vous pouvez le voir, la politique permet à Apple de numériser vos documents pour vous assurer qu'ils ne sont pas illégaux. Il n'est pas clair si Apple utilise sa capacité à numériser des documents à d'autres fins, mais il se donne également la permission d'utiliser les données des personnes pour développer de nouveaux services. Il semble donc probable qu'il effectue un certain niveau d'espionnage d'entreprise. Bien sûr, comme Apple est une source fermée, il est impossible de vérifier exactement quel type d'espionnage pourrait se produire..

Comme c'est le cas avec Google et Microsoft, la politique d'Apple stipule également qu'elle se conformera aux demandes légales de données. Cela signifie qu'il est possible que l'entreprise reçoive un ordre de bâillon et que vos données iCloud soient accessibles à votre insu:

«Il peut être nécessaire - en vertu de la loi, d'une procédure judiciaire, d'un litige et / ou des demandes des autorités publiques et gouvernementales à l'intérieur ou à l'extérieur de votre pays de résidence - qu'Apple divulgue vos informations personnelles. Nous pouvons également divulguer des informations vous concernant si nous déterminons qu'à des fins de sécurité nationale, d'application de la loi ou d'autres questions d'importance publique, la divulgation est nécessaire ou appropriée. »

Alors, à quelle fréquence Apple entre-t-il réellement dans les comptes des utilisateurs? Au premier semestre 2015, Apple a admis avoir reçu 4 472 demandes des autorités policières du monde entier. Apple déclare avoir divulgué des données à la police pour 1 886 de ces demandes (dont 1 407 ont été communiquées aux forces de l'ordre américaines).

Enfin, il convient également de noter que les notes stockées sur iCloud ne sont jamais chiffrées, jamais.

Dropbox est-il sécurisé?

Dropbox est un service de stockage cloud basé à San Francisco, en Californie. C'est le seul service de stockage cloud de cette liste qui n'appartient pas à un géant de la technologie, mais il a gagné en popularité grâce à la puissance de son service..

Malgré cela, il est difficile de considérer Dropbox plus sûr que les autres concurrents populaires dans cet article. En fait, le service a été directement critiqué par Edward Snowden, qui a été très bruyant sur le manque de confidentialité que les utilisateurs obtiennent sur la plateforme..

Dropbox est en partie une licence GPLv2 et une source partiellement fermée. Cela signifie qu'il est impossible de vérifier indépendamment tout le code source du service. Cela suffit à mettre certaines personnes hors service, car il existe des services de stockage cloud entièrement open source sur le marché.

En transit

Comme c'est le cas avec les autres services mentionnés dans cette liste, Dropbox utilise TLS sécurisé pour protéger toutes les données transmises des consommateurs aux serveurs de l'entreprise. Dropbox indique que ses connexions TLS créent un tunnel protégé par le cryptage AES 128.

Nous avons vérifié les services Dropbox avec Qualys SSL Labs pour voir s'ils réussissent les tests de l'auditeur indépendant. Qualys a évalué la connexion TLS avec un A +, ce qui signifie que ces connexions peuvent être fiables pour protéger les données des utilisateurs pendant leur transit..

Cependant, Dropbox ne fournit pas de cryptage de bout en bout, ce qui signifie que les données sont toujours susceptibles d'être interceptées.

Au repos

Dropbox stocke toutes les données sur ses serveurs avec un cryptage AES 256 puissant. Cependant, il est impossible de dire à partir de ses propres publications si ce cryptage est fourni à la volée pour chaque fichier auquel vous accédez..

Comme c'est le cas avec les autres services de cet article, Dropbox ne fournit pas de chiffrement de bout en bout. Au lieu de cela, il détient les clés de cryptage pour les données de tout le monde et conserve un contrôle total sur le cryptage et le décryptage des données au nom de l'utilisateur. Il s'agit d'un risque en termes de sécurité et de confidentialité car cela signifie que l'entreprise peut accéder aux données des utilisateurs quand elle le souhaite..

En outre, il est possible que des données utilisateur soient exposées en cas de fuite interne ou si des pirates parviennent à voler les clés de chiffrement des utilisateurs sur les serveurs de l'entreprise..

Il convient également de noter que le service a précédemment rencontré des problèmes avec ses mécanismes d'authentification, ce qui a permis à quiconque d'accéder aux fichiers Dropbox de tout le monde pendant environ quatre heures - sans avoir besoin du mot de passe d'un compte. De plus, les chercheurs en sécurité ont précédemment découvert une erreur dans l'application Dropbox iOS qui stockait les informations de connexion des utilisateurs en texte brut.

Cependant, il a depuis corrigé ces problèmes et a ajouté des mesures de sécurité pour permettre aux consommateurs de protéger leurs comptes. Ceux-ci incluent l'authentification à deux facteurs, une page pour vérifier les connexions actives au compte, les systèmes automatisés qui vérifient les activités inhabituelles et les mises à jour forcées du mot de passe pour les comptes qui sont considérés comme agissant de manière suspecte..

Malgré ces améliorations, toute personne souhaitant utiliser Dropbox de manière totalement sécurisée devra utiliser un logiciel tiers pour crypter ses données avant de les télécharger sur Dropbox.

Politique de confidentialité

La politique de confidentialité de Dropbox stipule clairement que vos données resteront toujours les vôtres. Cependant, la politique donne à l'entreprise la permission de «scanner» toutes vos données dans le but de mieux fournir ses services:

«Lorsque vous utilisez nos Services, vous nous fournissez des éléments tels que vos fichiers, contenus, messages, contacts, etc. (« Vos trucs »). Vos affaires vous appartiennent. Ces conditions ne nous confèrent aucun droit sur vos affaires, à l'exception des droits limités qui nous permettent d'offrir les services..

Nous avons besoin de votre autorisation pour faire des choses comme héberger vos trucs, les sauvegarder et les partager lorsque vous nous le demandez. Nos services vous offrent également des fonctionnalités telles que les miniatures de photos, les aperçus de documents, les commentaires, le tri, l'édition, le partage et la recherche faciles. Ces fonctionnalités et d'autres peuvent nécessiter que nos systèmes accèdent à, stockent et analysent vos données. »

Comme si cela ne suffisait pas, l'inscription à Dropbox signifie également que vos données pourraient être partagées avec des tiers:

«Vous nous autorisez à faire ces choses, et cette autorisation s'étend à nos affiliés et aux tiers de confiance avec lesquels nous travaillons.»

Être une entreprise américaine signifie également que Dropbox pourrait se voir signifier un mandat et un bâillon. Dans de telles circonstances, le gouvernement américain pourrait avoir accès aux données de n'importe qui, indéfiniment. En raison de l'ordre de bâillon, les utilisateurs ne sauraient jamais que les agences de renseignement américaines effectuaient une surveillance du contenu des comptes des personnes.

Dropbox indique clairement qu'il se conformera aux demandes légales et avertit les utilisateurs qu'ils ne doivent pas utiliser leurs comptes pour partager du contenu protégé par des droits d'auteur:

"Vous êtes responsable de votre conduite. Vos trucs et vous devez vous conformer à notre politique d'utilisation acceptable. Le contenu des Services peut être protégé par les droits de propriété intellectuelle d'autrui. Veuillez ne pas copier, télécharger, télécharger ou partager du contenu, sauf si vous en avez le droit. "

La politique indique clairement que la confidentialité n'est pas garantie en utilisant le service. Votre contenu sera analysé et pourrait être utilisé pour vous poursuivre si vous êtes reconnu coupable d'avoir enfreint des lois, y compris le piratage des droits d'auteur.

Meilleures pratiques pour l'utilisation du stockage cloud

Comme vous pouvez le voir dans cet article, de nombreuses questions se posent concernant la confidentialité des données fournie par les services de stockage cloud populaires. Aucun chiffrement de bout en bout signifie que vous devez faire confiance au fournisseur pour stocker vos données et les protéger. Et, en raison de leur base aux États-Unis, il est toujours possible que le gouvernement infiltre les données de ces comptes en utilisant un bâillon.

Que les services de stockage en nuage ci-dessus soient une solution acceptable pour vous dépend en grande partie de votre situation personnelle. Si autoriser Google, Apple, Microsoft ou Dropbox à stocker vos documents cryptés en votre nom vous semble suffisamment sécurisé, alors, par tous les moyens, utilisez ces services. Cependant, si vous appréciez vraiment la confidentialité, il sera toujours préférable de rechercher des alternatives open source avec un cryptage de bout en bout.

Si vous décidez d'utiliser l'un des services ci-dessus, nous recommandons certaines pratiques recommandées:

  • Choisissez un mot de passe fort et unique. Chacun de vos comptes nécessite un mot de passe unique fort pour le garder vraiment sécurisé. Ne pas le faire pourrait signifier que vos données sont exposées en raison d'une attaque de phishing.
  • Utilisez une autorisation à deux facteurs. Votre mot de passe est la clé de tous vos documents, ce qui signifie que quiconque le déchiffrera - ou devinera le mot de passe - pourra instantanément accéder à vos fichiers. 2FA vous offre une couche de protection supplémentaire qui empêche les pirates d'accéder à vos fichiers.
  • Par défaut, les fichiers que vous créez dans Google Drive, OneDrive, iCloud et Dropbox sont définis comme privés. Cependant, si vous décidez de partager l'accès à un fichier ou un dossier avec quelqu'un en utilisant un lien, il est possible que ce tiers puisse partager ce fichier ou dossier avec quelqu'un d'autre. Pour cette raison, il est important de toujours considérer avec qui vous partagez l'accès à vos données, comment et pourquoi.
  • Utilisez un logiciel tiers pour crypter vos données avant de les télécharger sur un service cloud en ligne. Le chiffrement des données avant leur téléchargement sur un service signifie que vous seul détenez la clé des données. Cependant, il s'agit d'une approche de longue haleine étant donné qu'il existe des fournisseurs open source avec un cryptage de bout en bout disponibles sur le marché.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me