Personne ne peut nier le c\u00f4t\u00e9 pratique des services de stockage dans le cloud, tels que Dropbox ou OneDrive. Le seul inconv\u00e9nient est que les cybercriminels, les agences de renseignement ou le fournisseur d\u2019h\u00e9bergement lui-m\u00eame peuvent consulter vos fichiers h\u00e9berg\u00e9s dans le cloud sans votre autorisation. Mais il existe une alternative plus s\u00fbre\u00a0: le stockage chiffr\u00e9 de fichiers dans le cloud. Certains parlent de chiffrement de bout en bout (E2EE), \u00e0 l\u2019instar de Signal et WhatsApp. D\u2019apr\u00e8s l\u2019argumentaire marketing, les fichiers sont chiffr\u00e9s sur votre appareil et envoy\u00e9s vers le cloud sous une forme d\u00e9j\u00e0 s\u00e9curis\u00e9e, la cl\u00e9 de chiffrement restant en votre possession uniquement. M\u00eame le fournisseur ne peut pas obtenir ces informations. Mais est-ce vraiment le cas\u00a0?<\/p>\n
Le groupe Applied Cryptography au sein de l\u2019\u00c9cole polytechnique f\u00e9d\u00e9rale de Zurich a d\u00e9cortiqu\u00e9<\/a> les algorithmes de cinq services de stockage chiffr\u00e9s populaires\u00a0: Sync.com, pCloud, Icedrive, Seafile et Tresorit. Dans chacun d\u2019entre eux, les chercheurs ont constat\u00e9 des erreurs dans la mise en \u0153uvre du chiffrement permettant, \u00e0 des degr\u00e9s divers, la manipulation de fichiers, voire l\u2019acc\u00e8s \u00e0 des fragments de donn\u00e9es non chiffr\u00e9es. Auparavant, ils avaient d\u00e9j\u00e0 d\u00e9couvert des failles dans deux autres services d\u2019h\u00e9bergement populaires\u00a0: MEGA<\/a> et Nextcloud<\/a>.<\/p>\n Dans tous les cas, les attaques sont men\u00e9es \u00e0 partir d\u2019un serveur malveillant. Le sc\u00e9nario se d\u00e9roule comme suit\u00a0: les intrus piratent les serveurs d\u2019h\u00e9bergement chiffr\u00e9s ou, en manipulant les routeurs sur le chemin client-serveur, forcent l\u2019ordinateur de la victime \u00e0 se connecter \u00e0 un autre serveur imitant le v\u00e9ritable serveur d\u2019h\u00e9bergement chiffr\u00e9. Si cette man\u0153uvre d\u00e9licate r\u00e9ussit, les attaquants peuvent th\u00e9oriquement\u00a0:<\/p>\n Dans chaque cas, le serveur malveillant est un module d\u2019attaque difficile \u00e0 mettre en place, mais qui n\u2019a rien de r\u00e9volutionnaire. \u00c0 la lumi\u00e8re des cyberattaques contre Microsoft<\/a> et Twilio<\/a>, la possibilit\u00e9 de compromettre un acteur majeur est bien r\u00e9elle. Et bien s\u00fbr, par d\u00e9finition, le chiffrement E2EE doit \u00eatre r\u00e9sistant aux actions malveillantes c\u00f4t\u00e9 serveur.<\/p>\n Sans entrer dans les d\u00e9tails techniques, nous constatons que les d\u00e9veloppeurs de tous les services semblent avoir mis en \u0153uvre un syst\u00e8me de chiffrement E2EE authentique, et utilis\u00e9 des algorithmes reconnus et robustes tels que AES et RSA. Cependant, le chiffrement des fichiers pose de nombreuses difficult\u00e9s techniques lorsqu\u2019il s\u2019agit de collaborer et de co-r\u00e9diger des documents. Les t\u00e2ches n\u00e9cessaires pour surmonter ces difficult\u00e9s et prendre en compte toutes les attaques possibles impliquant des cl\u00e9s de chiffrement modifi\u00e9es ne sont pas encore r\u00e9solues, mais Tresorit s\u2019est acquitt\u00e9 de cette t\u00e2che bien mieux que quiconque.<\/p>\n Les chercheurs soulignent que les d\u00e9veloppeurs des diff\u00e9rents services ont commis des erreurs fort similaires, ind\u00e9pendamment les uns des autres. Cela signifie que la mise en \u0153uvre d\u2019un stockage cloud chiffr\u00e9 comporte des nuances cryptographiques non n\u00e9gligeables. Ce qu\u2019il faut, c\u2019est un protocole bien d\u00e9velopp\u00e9 et test\u00e9 en profondeur par la communaut\u00e9 cryptographique, comme TLS pour les sites Internet ou le protocole Signal pour les messageries instantan\u00e9es.<\/p>\n Le plus gros probl\u00e8me li\u00e9 \u00e0 la correction des bugs recens\u00e9s est que non seulement les applications et les logiciels de serveur doivent \u00eatre mis \u00e0 jour, mais aussi, dans de nombreux cas, que les fichiers sauvegard\u00e9s par les utilisateurs doivent \u00eatre chiffr\u00e9s \u00e0 nouveau. Tous les fournisseurs d\u2019h\u00e9bergement ne peuvent pas se permettre ces d\u00e9penses de calcul consid\u00e9rables. De plus, le rechiffrement n\u2019est possible qu\u2019en coop\u00e9ration avec chaque utilisateur, et non de mani\u00e8re unilat\u00e9rale. C\u2019est probablement la raison pour laquelle les correctifs tardent \u00e0 venir<\/a>\u00a0:<\/p>\n Bien que les probl\u00e8mes recens\u00e9s par le groupe Applied Cryptography ne puissent \u00eatre consid\u00e9r\u00e9s comme purement th\u00e9oriques, ils ne repr\u00e9sentent pas une menace de masse facilement exploitable par les cybercriminels. Il n\u2019est donc pas n\u00e9cessaire d\u2019agir de fa\u00e7on pr\u00e9cipit\u00e9e, mais plut\u00f4t de proc\u00e9der \u00e0 une \u00e9valuation objective de la situation\u00a0:<\/p>\n Si la collaboration n\u2019est pas un crit\u00e8re d\u00e9terminant, mais que les donn\u00e9es stock\u00e9es sont importantes, la meilleure solution consiste \u00e0 opter pour le chiffrement des fichiers en local. Vous pouvez le faire de diff\u00e9rentes mani\u00e8res, par exemple, en stockant les donn\u00e9es dans un fichier de conteneur chiffr\u00e9 ou dans une archive prot\u00e9g\u00e9e par un mot de passe fort. Si vous devez transf\u00e9rer des donn\u00e9es vers un autre appareil, vous pouvez charger une archive d\u00e9j\u00e0 chiffr\u00e9e sur le service d\u2019h\u00e9bergement dans le cloud.<\/p>\n Si vous souhaitez combiner collaboration et confort avec des garanties de s\u00e9curit\u00e9 ad\u00e9quates, et si la quantit\u00e9 de donn\u00e9es stock\u00e9es n\u2019est pas tr\u00e8s importante, il vaut la peine de transf\u00e9rer les donn\u00e9es vers l\u2019un des services qui ont le mieux r\u00e9sist\u00e9 aux tests de l\u2019\u00c9cole polytechnique f\u00e9d\u00e9rale de Zurich. Il s\u2019agit avant tout de Tresorit, mais \u00e9galement de MEGA et de Nextcloud.<\/p>\n Si aucune de ces solutions ne vous convient, vous pouvez opter pour un autre service d\u2019h\u00e9bergement chiffr\u00e9, mais en prenant des pr\u00e9cautions suppl\u00e9mentaires\u00a0: \u00e9vitez de stocker des donn\u00e9es tr\u00e8s confidentielles, mettez rapidement \u00e0 jour les applications, v\u00e9rifiez r\u00e9guli\u00e8rement vos disques cloud et supprimez les informations obsol\u00e8tes ou superflues.<\/p>\n\n
Des retouches co\u00fbteuses<\/h2>\n
\n
Que doivent faire les utilisateurs\u00a0?<\/h2>\n
\n