Publié par Guillaume Champeau, le Lundi 31 Mars 2014

Des dossiers Dropbox privés vidés pour piratage ? Rien de neuf

Même s'il certifie que les fichiers qu'il héberge sont chiffrés, Dropbox a la possibilité de vérifier leur légalité pour interdire la mise en partage de fichiers protégés par le droit d'auteur.

C'est un tweet qui a mis le feu aux poudres, qui montre à quel point les utilisateurs de certains services de "cloud" ont une idée fantasmée de la liberté que leur accorderait le stockage dans les nuages, alors qu'ils mettent leurs données dans les mains d'un prestataire privé. Dimanche, un internaute du nom de Darrel Whitelaw a publié sur Twitter un message dans lequel il s'étonnait qu'un dossier personnel de son compte Dropbox avait été vidé suite à une demande DMCA, c'est-à-dire après qu'un ayant droit se soit plaint du contenu.

Son message a été retweeté plus de 3300 fois :

Néanmoins ce qu'il énonce n'est rien de nouveau pour qui connaît le fonctionnement de Dropbox. Depuis de nombreuses années, la plateforme permet aux ayants droit de signaler les fichiers partagés publiquement qui sont mis à disposition des internautes sans leur autorisation, donc en violation des droits d'auteur.

Lorsqu'il reçoit une telle notification, Dropbox vérifie le contenu signalé et s'il constate qu'il s'agit effectivement d'une contrefaçon, le site ajoute la signature électronique unique du fichier à une base de données de contenus qui ne peuvent plus être partagés publiquement à partir de la plateforme. Cette signature est un "hash", calculé par un algorithme à partir du contenu-même du fichier. Tous les fichiers identiques ont le même "hash".

Quand un internaute uploade un fichier sur Dropbox, son "hash" est donc calculé puis comparé à la base de données. S'il figure dans la liste des contenus interdits, l'utilisateur ne pourra pas utiliser Dropbox pour générer un lien de partage. C'est ce qui s'est passé avec Darrel Whitelaw. Son fichier n'a pas été physiquement supprimé de son espace de stockage, mais il n'a plus l'autorisation de le partager.

Rappelons qu'en théorie, Dropbox chiffre les espaces de stockage, ce qui est censé empêcher la vérification des hashs. Mais comme nous l'avions vu en 2011, le chiffrement de Dropbox n'implique pas la confidentialité. Le chiffrement est réalisé après upload sur les serveurs de Dropbox, donc après calcul du hash, et Dropbox conserve la clé de déchiffrement pour pouvoir accès en clair (en cas de demande judiciaire ou administrative) aux contenus qu'il héberge.

Publié par Guillaume Champeau, le 31 Mars 2014 à 09h58
 
30
Commentaires à propos de «Des dossiers Dropbox privés vidés pour piratage ? Rien de neuf»
Inscrit le 10/07/2008
3089 messages publiés
Le chiffrement, et donc le déchiffrement, est réalisé par l'hébergeur. C'est une farce?
Inscrit le 30/09/2013
1264 messages publiés
Tu veux que le chiffrement et le déchiffrement soient fait en javascript sur le poste de l'utilisateur ?
Inscrit le 27/02/2009
586 messages publiés
Bah oui, comme mega.

Meme si le mieux reste de s'en occuper sois meme, mais bon, faut un minimum de connaissance pour ca...
Inscrit le 30/09/2013
1264 messages publiés
Et donc tu es absolument certain que le cryptage par javascript que Mega te fournit si gentiment pour crypter ton fichier en local avant de l'envoyer ne contient strictement aucune backdoor pour décrypter le fichier une fois arrivé sur leur serveur ?
Inscrit le 25/08/2008
764 messages publiés
Beaucoup plus que si on chiffre côté serveur... Le code source côté client est en clair à 100 %. Si l'algorithme utilisé sur le poste client est vérifiable puisque lisible, à ce moment-là tu peux effectivement t'assurer qu'il n'y a pas de problème.
Inscrit le 27/02/2009
586 messages publiés
Ils pourraient en effet changer le js discrètement, mais c'est justement leur défense de procéder ainsi. De plus, la moindre fuite prouverait qu'ils l'ont fait et hop, plus personne y va...
Apres, on peut hacher le js et voir quand il change si tu veux
Inscrit le 10/07/2008
3089 messages publiés
Tu veux que le chiffrement et le déchiffrement soient fait en javascript sur le poste de l'utilisateur ?

Il y a d'autres langages que Javascript. Idéalement, si on veut une vraie sécurité, la solution de cryptage ne doit pas venir du fournisseur de stockage puisque celui-ci pourrait être tenté d'y introduire un backdoor.
Inscrit le 13/08/2010
7594 messages publiés
Faut être un peu con pour mettre des fichiers "illégaux" en accès public via Dropbox, non ?
Inscrit le 20/11/2004
2088 messages publiés
Tu étais encore mineur, à l'époque où il se créait des comptes Free 100 Mo à la pelle, je pense
Inscrit le 13/08/2010
7594 messages publiés
Et non. Mais à cette époque, on ne connaissait pas PRISM par ex. Il n'y avait même pas de "copyright madness" c'est te dire

Tu ne vas pas me dire que Dropbox est la plateforme idéale (ni la plus utilisée heureusement) pour mettre des fichiers "illégaux" à disposition de tout le monde. La preuve vient d'en être donnée, pour ceux qui auraient pu avoir des doutes...
Inscrit le 21/02/2006
4268 messages publiés
faut êtres juste sacrément con pour coller quoi que ce soit de privé dans un cloud.et meme des fichiers illégaux
Inscrit le 21/05/2010
282 messages publiés
Rien de neuf sous le soleil. Celui qui "possède" un espace de stockage peut l'utiliser à sa guise.
Dropbox possède les serveurs, il fait la pluie et le beau temps dessus, comme ça lui chante et sans avoir de compte à rendre.

Le P2P c’était bien, c'était moderne, c’était il y a dix ans...
Inscrit le 20/08/2010
909 messages publiés
Il faut être con pour mettre dans les nuages des fichiers non chiffrés avant upload sur sa propre machine.
Inscrit le 30/09/2013
1264 messages publiés
J'ai un fichier "illégal" que je veux partager sur Dropbox.
Mais comme je ne veux pas que Dropbox regarde ce qu'il y a dedans, je vais le crypter avec un logiciel quelconque.
Puis je vais télécharger la version cryptée.

Question : comment je fais pour donner la clé de déchiffrement à tous les utilisateurs qui veulent récupérer le fichier ? Je met à côté du fichier crypté un fichier texte donnant la clé de déchiffrement ? Ou alors contenant mon email ?

Bien entendu qu'il est nécessaire de crypter ses données avec un outil indépendant du logiciel de cloud avant d'aller le poser. Mais cela signifie que ce fichier crypté n'est en accès que pour soi-même et/ou un tout petit nombre d'utilisateurs de confiance à qui on fait parvenir la clé de déchiffrement par un autre moyen.
Inscrit le 27/02/2009
586 messages publiés
Tu donnes un lien vers le fichier et un autre lien vers la clef... Pas bien compliqué
Ainsi, juste avec l'un ou l'autre, on ne peut rien faire, et donc, seul ceux qui auront le message source (ton email, billet sur blog ou message sur forum de warez) pourront s'en servir.
Inscrit le 30/09/2013
1264 messages publiés
OK, je donne sur mon blog un lien vers le fichier et un autre vers la clé (plus un 3e vers le programme d déchiffrement).

Et ensuite, j'espère qu'aucune "autorité" n'ira lire le blog, c'est-à-dire que je vais faire tout mon possible pour qu'il reste confidentiel.
Inscrit le 10/07/2008
3089 messages publiés
OK, je donne sur mon blog un lien vers le fichier et un autre vers la clé (plus un 3e vers le programme d déchiffrement). Et ensuite, j'espère qu'aucune "autorité" n'ira lire le blog, c'est-à-dire que je vais faire tout mon possible pour qu'il reste confidentiel.

Si tu as diffusé la clé en public, elle n'est plus privée. N'importe qui peut décrypter ton fichier et ton cryptage ne sert à rien. Tu peux pas être privé et public à la fois.
Inscrit le 27/02/2009
586 messages publiés
+1 si tu partages, tu partages... y'as pas de miracle la dessus. Le mieux qu'on puisse faire, c'est qu'une personne au dessus de la liste de partage puisse accéder a l'info.

"Tu peux pas être privé et public à la fois." j'aime beaucoup cette façon de dire
Inscrit le 17/03/2008
2650 messages publiés
J'essaie , effectivement, de trouver un logiciel/algorithme qui permette à la fois de concrétiser le but du P2P (la diffusion de fichiers au plus large nombre sans point central *pour les fichiers* (pas pour les seeds) , et à la fois que chaque personne dispose d'une URL de téléchargement personnalisé (voir chiffrée) - de manière à pas pouvoir faire de retrait massif.

J'avais eu connaissance d'un projet assez intéressant - qui s'appelait "blocknet" - dont le principe était de télécharger des blocs de données de taille fixe , et dont le seed n'était pas qu'un simple hash, mais une formule mathématique pour "convertir" ce bloc en bloc de donné final (ensuite ça marche comme bittorrent - un fichier est constitué d'un assemblage de blocs).

L'idée derrière ça était qu'a UN SEUL bloc était associé plusieurs fichiers - en chageant la formule mathématique pour le convertir. L'ensemble de ces formules constituaient le fichier de seed.

Inconvénients: Pour que ce soit efficace il faut maximiser la réutilisation des blocs , donc que ces derniers soient générés sur une machine qui en a déjà plein. L'opération était très longue.  D'autre part, le total d'octets transféré était entre 200% et 400% des fichiers finaux , et le fichier de seed était très gros...


Une autre chose, ça pourrait être que les seeders torrents eux-même chiffrent les données au moment de l'envoi, par exemple avec la clé publique du client (diffusée lors de l'échange initial par exemple, une clé éphémère). Le client déchiffrerais ensuite chaque bloc de donné avec sa clé privée.
Inscrit le 03/10/2011
6295 messages publiés
Bien sûr, mais en l'occurrence, il s'agit de bloquer les procédures de suppression automatique de contenu des hébergeurs. On peut donc avoir 10 fois le même fichier chiffré de manière différente. Une seule version pourra être bloquée à chaque fois, les ayants droits devront donc signaler tous les liens au lieu d'un seul.
Inscrit le 18/03/2008
777 messages publiés
mêrme avec méga le ratissage automatique était de mise, mais il suffisait de séparer id/clef pour le court circuiter. Le piratage est vu comme un fléau, mais pas au point d'y engager une main d'oeuvre conséquente.
Inscrit le 01/04/2004
10 messages publiés
Perso j'ai lâché Dropbox pour BitTorrent® Sync et ça roxe
Inscrit le 27/02/2009
586 messages publiés
C'est pas vraiment la même utilité (tes fichiers sont save nul part autre que tes propre DD) mais c'est pas forcément un mal.
Mais pour utiliser BTsync aussi, j’avoue, ca roxe bien comme il faut
Et surtout, c'est polyvalent et pas limité.

J'ai un partage pour sauvegarder et gérer a distance le DCIM de mon tel, un autre pour les videos, pour les save des emulateurs, un autre pour les doc, un autre qui télécharge automatiquement ce qui arrive sur la seedbox pour le mettre dans mon nas... etc
Inscrit le 27/11/2013
12 messages publiés
"pour pouvoir accès en clair"

Hum, c'est la fête en ce moment, on ne se relit plus du tout ?
[message édité par guilamu le 31/03/2014 à 14:18 ]
Inscrit le 15/03/2011
267 messages publiés
Et si on compresse le fichier via winrar. Donc tout en .rar c'est détecté aussi ?
Inscrit le 17/11/2008
79 messages publiés
BoxCryptor, un truecrypt a la sauce cloud.

Je l'utilise pour stocker mes documents pro ou perso sur mon compte dropbox.
Inscrit le 21/11/2011
621 messages publiés
Le mieux est de ne pas utiliser les stockages en ligne sauf utilité réelle. Edit : ne soyez pas dépendant des besoins que les autres ont créé pour vous.
[message édité par DoubleJ le 31/03/2014 à 17:56 ]
Inscrit le 13/08/2010
7594 messages publiés
Un stockage en ligne peut être vu comme une sauvegarde externalisée pour fichiers importants.
Je ne vais pas chanter le couplet sécuritaire : incendie-cambriolage-crash du PC... qui font disparaître l'ensemble des données, y compris leurs supports de sauvegarde in situ.
Encore faut-il adopter le service et/ou les usages adéquats.
En matière de chiffrement et confidentialité des données, wuala.com mérite un coup d’œil. Payant au-delà de 5 Go.
Inscrit le 13/08/2002
6918 messages publiés
le plus simple

1/ http://pyd.io/

2/ http://www.online.net/fr/serveur-dedie/dedibox-scg2

10 e mois, 500 Go 

Safe et pas cher
Inscrit le 13/08/2002
6918 messages publiés
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Mars 2014
 
Lu Ma Me Je Ve Sa Di
24 25 26 27 28 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6