La gratuité a un coût. Lorsqu'un utilisateur envoie des fichiers sur Dropbox, ceux-ci sont chiffrés avec un algorithme et une clé de chiffrage en principe suffisants pour garantir la confidentialité des données stockées. Mais Dropbox conserve un double de la clé, et ne se prive pas de l'utiliser pour réaliser des économies dans ses data-centers.

Sylvain Métille, auteur du blog Nouvelles technologies et droit, publie un billet très instructif sur Dropbox, le fameux service en ligne de stockage et de synchronisation de fichiers. Dropbox offre un espace de stockage gratuit de 2 Go, et un utilitaire sous Windows, Mac, Linux, iOS, Android et BlackBerry, qui permet d’accéder à distance aux fichiers qui y sont déposés. Il peut être utilisé seul, pour accéder à ses documents personnels depuis n’importe quel poste, ou à plusieurs en partageant l’accès à des dossiers avec d’autres utilisateurs.

Parmi ses promesses, Dropbox annonce que « tous les fichiers stockés sur Dropbox sont chiffrés (AES-256)« , ce qui doit garantir la confidentialité de leur contenu. Impossible de les lire sans posséder la clé de déchiffrage. Or c’est là que réside l’ambiguïté, comme l’explique Sylvain Métille :

Jusqu’à récemment, Dropbox affirmait que les fichiers hébergés étaient soumis à un chiffrement (AES-256) et qu’ils étaient inaccessibles sans le mot de passe de l’utilisateur, laissant croire que personne d’autre que l’utilisateur ne détenait la clé de cryptage, autrement dit seul l’utilisateur avait les moyens de lire les données (Dropbox ne voyant en quelque sorte qu’un coffre fort fermé).

Christopher Soghoian a démontré que cela n’était pas le cas et Dropbox a modifié les informations contenues sur son site. Maintenant Dropbox indique seulement que tous les fichiers sont chiffrés (AES-256) et admet que les employés peuvent accéder aux données (même si cela leur est interdit). Pour reprendre la comparaison, Dropbox admet avoir la clé du coffre

Dropbox a ainsi mis son contrat en conformité avec ses pratiques, sans abandonner le stockage de la clé de chiffrement. Il apparaît d’ailleurs évident que le service utilise cette clé dont il possède le double, puisque « pour éviter de stocker un fichier déjà téléchargé par un autre utilisateur, Dropbox compare les fichiers avec ceux déjà enregistrés et n’en conserve qu’une seule version« . Or il serait techniquement impossible de comparer les fichiers sans les déchiffrer. L’option choisie par Dropbox se fait au détriment de la vie privée de ses clients.

« Les services de sauvegarde en cloud n’ont pas besoin de concevoir leurs produits de cette manière« , faisait remarquer Christopher Soghoian en avril dernier, lors de ses révélations. « Spideroak et Tarnsap sont deux services concurrents qui chiffrent les données de leurs utilisateurs avec une clé connue seulement de l’utilisateur. Ces sociétés ont choisi de privilégier d’abord la vie privée de leurs utilisateurs, mais l’effet de bord est qu’ils ont besoin de davantage d’espace de stockage. Si 20 utilisateurs uploadent le même fichiers, les deux sociétés conservent 20 copies ce fichier« .

Who's who

Dropbox

Dossier à distance

Dropbox est une plateforme d'hébergement de fichiers dans le cloud. À ce jour, elle revendique 400 millions d'utilisateurs dans le monde ainsi que plus...

Partager sur les réseaux sociaux

Articles liés