Dropbox : stockage des données en Allemagne et point sur la sécurité

Dropbox : stockage des données en Allemagne et point sur la sécurité

Du stockage « local » pour les entreprises européennes

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

12/02/2016 5 minutes
10

Dropbox : stockage des données en Allemagne et point sur la sécurité

Dropbox avait promis de réagir face à la crise de confiance d’une partie de sa clientèle. L’éditeur a donc annoncé hier que les utilisateurs européens pourraient, s’ils le souhaitent, stocker leurs données en Allemagne à compter du troisième trimestre. Il en a profité pour faire le point sur les mesures de sécurité proposées.

Dropbox, comme de nombreuses entreprises proposant des services en ligne, a été frappé par une crise de confiance dans le sillage des révélations d’Edward Snowden. En décembre dernier, la société américaine avait donc prévenu que ses utilisateurs européens pourraient stocker leurs données sur le Vieux Continent dans un futur proche. Depuis hier soir, on sait que le coup d’envoi sera donné durant le troisième trimestre de cette année et que les fichiers seront hébergés en Allemagne.

Un stockage basé sur les Amazon Web Services

L’entreprise ne créera pas pour autant son propre centre de données. Elle a noué un partenariat avec Amazon et utilisera donc les Web Services de ce dernier. La zone de disponibilité choisie est celle de Francfort, où Amazon a construit son plus récent centre de données, opérationnel depuis fin 2014. Cela étant, et au moins pendant un premier temps, seuls les clients professionnels de Dropbox pourront choisir le stockage européen.

Notez que Dropbox n’est pas le premier fournisseur à proposer un tel choix, ou tout du moins à en préparer l’arrivée. Amazon laisse déjà ce choix sur plusieurs de ses services, dont le futur WorkMail. C’est également le cas pour Microsoft avec Azure, dont le stockage peut être fait en Irlande ou aux Pays-Bas, au choix du client. Mais comme toujours, cette possibilité existe surtout pour les entreprises clients, les usagers grand public n’y ont pas encore accès.

De nouveaux locaux à Amsterdam

Quoi qu’il en soit, cette décision de Dropbox est une pierre de plus à l’édifice de sa stratégie européenne. Selon l’éditeur, 400 millions de clients utilisent le service de manière active, dont 75 % se trouvent hors des États-Unis. Sur cette part, une proportion importante (sans que l’on sache exactement combien) se situe en Europe, où le climat de méfiance envers les services de renseignement américains est pesant, l’échec des négociations autour du Safe Harbor ajoutant au marasme actuel.

Dropbox avait pour rappel déjà ouvert des locaux à Dublin il y a trois ans, puis en avait ajouté à Londres et Paris l’année dernière. En plus de sa stratégie de stockage, la société annonce d’ailleurs qu’une nouvelle antenne ouvre actuellement à Amsterdam, pour piloter la région Benelux.

Moins de 1 % des clients utilisent l'authentification à deux facteurs

Cette communication sur le stockage en Allemagne s’est accompagnée d’une autre, centrée sur la sécurité. Pour bien montrer que les données de ses clients professionnels sont préservées avec soin, l’éditeur a souhaité faire le tour des solutions de sécurité proposées, voire des compléments tiers qui peuvent être ajoutés dans certains cas.

La société rappelle que la force d’une chaine dépend de celle de son maillon le plus faible. Dans la ligne de mire, le mot de passe de l’utilisateur, un problème récurrent sur lequel nous revenons régulièrement. Dropbox indique que les attaques menées contre son service ne concernent que rarement ses applications ou son infrastructure, mais bien les mots de passe des utilisateurs. Dans 95 % des cas, les tentatives malveillantes sont bloquées de manière automatique, ce qui ne doit pas empêcher l’utilisateur de se protéger de manière plus efficace, notamment avec des mots de passe complexes.

Dropbox tient donc à faire le point sur certaines options, à commencer par l’authentification à deux facteurs, ou 2FA. Sur les 400 millions d’utilisateurs que compte le service, seuls 1,5 million d’entre eux l’utilisent, soit moins de 1 % du total. Mais l’entreprise insiste : ces comptes n’ont jamais été compromis. En outre, en milieu professionnel, un administrateur a la possibilité de rendre obligatoire la 2FA pour l’ensemble des employés. Idéalement, Dropbox recommande d’ailleurs d’activer une telle option partout où elle est possible : Facebook, Salesforce, Apple, Google et autres.

L'insistance sur la sécurité

Parmi les autres possibilités, Dropbox rappelle que son service est compatible avec le standard SAML (Security Assertion Markup Language) et donc avec l’authentification unique (single sign-on). Plus question de mots de passe ici, mais d’un jeton de sécurité qui peut être exploité de différentes manières. L’idée est ici de ne plus avoir de mots de passe à retenir, cette donnée pouvant être égarée, dérobée ou autre. Au « pire », la société indique que l’utilisateur peut se servir d’un gestionnaire de mots de passe pour les générer et les stocker. Elle cite le cas de 1password, mais on pourrait tout aussi bien parler de Dashlane, KeePass et LastPass.

Si Dropbox insiste particulièrement sur la sécurité, c’est qu’elle sait qu’elle est une condition sine qua non à son développement. L’entreprise ne peut évidemment pas ignorer qu’il suffirait d’un seul cas de données dérobées pour lui faire une très mauvaise publicité et ainsi affecter sa croissance. Elle insiste par exemple sur la nécessité d’avoir une politique transparente sur la découverte et la correction des failles de sécurité. Elle dispose d’ailleurs d’un programme de chasse aux bugs, géré par HackerOne. Elle participe également à la Threat Exchange, une plateforme de mise en commun des informations liées aux menaces.

10

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un stockage basé sur les Amazon Web Services

De nouveaux locaux à Amsterdam

Moins de 1 % des clients utilisent l'authentification à deux facteurs

L'insistance sur la sécurité

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (10)


Ce bon vieux pays de Allemange <img data-src=" />

J’ai encore perdu de vue le bouton pour “signaler une erreur”, il faudrait le faire plus facile à retrouver.


Petite coquille dans la titre qui ne MANGE pas de pain.

Dropbox c’est ‘méricain avec du Condoleezza Rice dedans . #DropDropBox


Je ne comprends toujours pas pourquoi ces services ne proposent pas un système d’authentification par clé privée. C’est pourtant vieux, mature et beaucoup plus sécurisé.








gokudomatic a écrit :



Je ne comprends toujours pas pourquoi ces services ne proposent pas un système d’authentification par clé privée. C’est pourtant vieux, mature et beaucoup plus sécurisé.



Par clef publique, tu veux dire ?

C’est clair que si on pouvait s’authentifier sur les clouds avec une clef ssh, ce serait tellement plus simple.

&nbsp;



Quand tu vois que la 2FA qui reste une solution extrêmement simple pour l’utilisateur (je n’ai jamais entendu quelqu’un se plaindre de la complexité du 3DS pour le paiement par CB) n’est utilisé que par 1% de la clientèle, il y a de fortes chances que les barbus qui seraient intéressés par l’auth via clé soient beaucoup, beaucoup moins nombreux.



Cela dit il y a peut-être un soucis de communication de la part de DropBox car je n’avais pas en tête qu’ils proposaient la 2FA alors que j’utilise et suit avec intérêt la société depuis la bêta…


On a forcément besoin des deux clés pour procéder à l’authentification. Sans clé privée point de connexion.








NiCr a écrit :



Quand tu vois que la 2FA qui reste une solution extrêmement simple pour l’utilisateur (je n’ai jamais entendu quelqu’un se plaindre de la complexité du 3DS pour le paiement par CB) n’est utilisé que par 1% de la clientèle, il y a de fortes chances que les barbus qui seraient intéressés par l’auth via clé soient beaucoup, beaucoup moins nombreux.



Cela dit il y a peut-être un soucis de communication de la part de DropBox car je n’avais pas en tête qu’ils proposaient la 2FA alors que j’utilise et suit avec intérêt la société depuis la bêta…





C’est en grande partie la faute à Microsoft. Windows n’a jamais supporté nativement le protocole ssh, probablement car il a sa propre solution. Le jour où il aura un standard sur tous les OS pour les clés d’authentification, il se pourrait que les applications en cloud s’y mettent aussi. Github, par exemple, l’utilise sans problème.



Certes, mais tous les systèmes d’authentification ont une clef privée, sinon ça n’est plus de l’authentification. L’originalité des systèmes de clefs asymétrique tels que SSH, c’est d’avoir une partie publique, et c’est pour ça que les système de cryptographie asymétrique, on les appelle “à clef publique”.

&nbsp;


tout à fait.<img data-src=" /> Désolé si mes paroles ont prêté à confusion.


Mouais….



En tant que bon francais, je fais aussi peu confiance aux boches qu’aux yankees pour ma protection.



Si, grâce à nos secrets industriels, pas de différence si c’est BASF ou Dupont qui remporte un contrat à la place (légitime) de nos industries bien de chez nous.