Dropbox est un service très populaire d’enregistrement en ligne des données. Un compte de base gratuit permet d’avoir 2 Go de stockage et des clients d’accès synchronisent les fichiers sur Windows, Mac OS X, Linux et plusieurs plateformes mobiles telles qu’iOS, Android, BlackBerry ou encore Windows Phone 7. Mais un récent changement dans les conditions d’utilisation proclame que l’éditeur possède la clé permettant d’accéder aux données des utilisateurs.
Dropbox attaqué sur la sécurité des données
Dropbox a toujours parlé d’un chiffrement des données de type AES 256 bits, une protection particulièrement efficace. Toutefois, une plainte a été déposée en mai devant la Commission fédérale américaine du commerce (FTC). Elle visait notamment des défauts dans la cuirasse à cause d’un chiffrement des données moins fort que celui annoncé, des annonces sur la sécurité aptes à tromper l’utilisateur (publicité mensongère) et d’un manque de protection inhérent à la manière dont l’éditeur cherche à s’épargner du travail.
Ce dernier point avait été exposé un mois avant le dépôt de la plainte par Christopher Soghoian sur le blog Slight Paranoia. Soghoian y explique que Dropbox fonctionne par « dé-duplication » : si plusieurs utilisateurs stockent une version unique d’un fichier, les serveurs n’en possèdent en réalité qu’une seule et même copie afin d’économiser de la place. Or, il y a ici conflit : Dropbox annonce ne pas accéder aux données, mais la société a nécessairement besoin de le faire pour comparer les fichiers et ainsi garder une seule version pour un lot d’utilisateurs.
La situation s'était également alourdie lors de la révélation d'un bug d'authentification dont l'exploitation autorisait la récupération des données dans les 25 millions de comptes. Selon Dropbox, moins d'une centaine d'utilisateurs avaient été touchés, et aucun fichier n'avait été modifié ou supprimé. L'accès aux données était pourtant possible et là résidait le principal danger.
La société change ses conditions d'utilisation
C’est dans ce cadre que les conditions d’utilisation ont été modifiées. Depuis quelques jours, Dropbox envoie à ses utilisateurs un email les avertissant du changement. Dans un billet sur le blog officiel, la société explique cinq points particuliers :
« ... selon les besoins raisonnablement nécessaires du service »
Dans une mise à jour du billet toutefois, Dropbox donne des informations particulièrement importantes. La société indique ainsi que l’utilisateur est seul responsable de sa conduite, donc de la manière dont il se sert du service. Elle ajoute qu’il reste propriétaire de ses données, mais cette notion semble perméable pour Dropbox.
« Nous avons parfois besoin de votre permission pour faire ce que vous nous demandez de faire avec vos données (par exemple, héberger, rendre publique ou partager vos fichiers). En soumettant vos données aux services, vous nous accordez (ainsi qu’à ceux qui travaillent avec nous pour fournir les services) les droits internationaux, non-exclusifs, sans royalties et de sous-licences pour copier, distribuer, préparer des travaux dérivés (comme des traductions et des conversions de formats), traiter ou afficher de manière publique vos données selon les besoins raisonnablement nécessaires du service. La licence nous permet uniquement d’administrer, traiter et d’afficher les services. »
En clair : l’utilisateur est maître de ses données, mais la société peut y accéder elle aussi, même si elle insiste sur la portée limitée aux seules prérogatives fonctionnelles. Les conditions d’utilisation ont été modifiées pour éclaircir ces points et pour préciser que l’éditeur possède bel et bien un double des clés.
Ce type de service doit en effet faire un choix : privilégier la sécurité coûte que coûte, ou simplifier la vie des utilisateurs. Christopher Soghoian expliquait ainsi que des concurrents tels que Spideroak et Tarnsap chiffrent leurs données avec des clés que les utilisateurs sont les seuls à posséder. Mais l’un des effets de bord pour ces sociétés est que la duplication des données peut consommer rapidement beaucoup plus d’espace : « Si 20 utilisateurs envoient le même fichier, les deux sociétés conservent 20 copies dudit fichier ».
Il faut donc réfléchir soigneusement avant de confier des données à ce type de service, surtout si elles sont très personnelles et donc sensibles. Plus globalement, on ne peut que se demander si ce type de problème ne va pas connaître une recrudescence du fait de la banalisation des solutions de type « cloud ».
Dropbox attaqué sur la sécurité des données
Dropbox a toujours parlé d’un chiffrement des données de type AES 256 bits, une protection particulièrement efficace. Toutefois, une plainte a été déposée en mai devant la Commission fédérale américaine du commerce (FTC). Elle visait notamment des défauts dans la cuirasse à cause d’un chiffrement des données moins fort que celui annoncé, des annonces sur la sécurité aptes à tromper l’utilisateur (publicité mensongère) et d’un manque de protection inhérent à la manière dont l’éditeur cherche à s’épargner du travail.
Ce dernier point avait été exposé un mois avant le dépôt de la plainte par Christopher Soghoian sur le blog Slight Paranoia. Soghoian y explique que Dropbox fonctionne par « dé-duplication » : si plusieurs utilisateurs stockent une version unique d’un fichier, les serveurs n’en possèdent en réalité qu’une seule et même copie afin d’économiser de la place. Or, il y a ici conflit : Dropbox annonce ne pas accéder aux données, mais la société a nécessairement besoin de le faire pour comparer les fichiers et ainsi garder une seule version pour un lot d’utilisateurs.
La situation s'était également alourdie lors de la révélation d'un bug d'authentification dont l'exploitation autorisait la récupération des données dans les 25 millions de comptes. Selon Dropbox, moins d'une centaine d'utilisateurs avaient été touchés, et aucun fichier n'avait été modifié ou supprimé. L'accès aux données était pourtant possible et là résidait le principal danger.
La société change ses conditions d'utilisation
C’est dans ce cadre que les conditions d’utilisation ont été modifiées. Depuis quelques jours, Dropbox envoie à ses utilisateurs un email les avertissant du changement. Dans un billet sur le blog officiel, la société explique cinq points particuliers :
- Les clés de chiffrement, qui sont gérées par Dropbox pour l’utilisateur, même si ce dernier a la possibilité d’utiliser les siennes propres (comme avec TrueCrypt)
- Les pratiques concernant les données : Dropbox affirme que l’utilisateur contrôle ses données, mais qu’en cas de suppression de compte, elles ne peuvent pas toujours être effacées dans la foulée.
- La collecte automatique de certaines informations, telles que le système d’exploitation utilisé, le pays d’où se fait la connexion et l’identifiant de l’appareil utilisé, le tout à des fins « d’optimisations ».
- Dé-duplication, comme nous l’avons expliquée plus haut
- Le chiffrement des données depuis les mobiles : les métadonnées servant aux transferts sont chiffrées, mais tous les clients n’en sont pas encore capables. D’où une précision à ce sujet.
« ... selon les besoins raisonnablement nécessaires du service »
Dans une mise à jour du billet toutefois, Dropbox donne des informations particulièrement importantes. La société indique ainsi que l’utilisateur est seul responsable de sa conduite, donc de la manière dont il se sert du service. Elle ajoute qu’il reste propriétaire de ses données, mais cette notion semble perméable pour Dropbox.
« Nous avons parfois besoin de votre permission pour faire ce que vous nous demandez de faire avec vos données (par exemple, héberger, rendre publique ou partager vos fichiers). En soumettant vos données aux services, vous nous accordez (ainsi qu’à ceux qui travaillent avec nous pour fournir les services) les droits internationaux, non-exclusifs, sans royalties et de sous-licences pour copier, distribuer, préparer des travaux dérivés (comme des traductions et des conversions de formats), traiter ou afficher de manière publique vos données selon les besoins raisonnablement nécessaires du service. La licence nous permet uniquement d’administrer, traiter et d’afficher les services. »
En clair : l’utilisateur est maître de ses données, mais la société peut y accéder elle aussi, même si elle insiste sur la portée limitée aux seules prérogatives fonctionnelles. Les conditions d’utilisation ont été modifiées pour éclaircir ces points et pour préciser que l’éditeur possède bel et bien un double des clés.
Ce type de service doit en effet faire un choix : privilégier la sécurité coûte que coûte, ou simplifier la vie des utilisateurs. Christopher Soghoian expliquait ainsi que des concurrents tels que Spideroak et Tarnsap chiffrent leurs données avec des clés que les utilisateurs sont les seuls à posséder. Mais l’un des effets de bord pour ces sociétés est que la duplication des données peut consommer rapidement beaucoup plus d’espace : « Si 20 utilisateurs envoient le même fichier, les deux sociétés conservent 20 copies dudit fichier ».
Il faut donc réfléchir soigneusement avant de confier des données à ce type de service, surtout si elles sont très personnelles et donc sensibles. Plus globalement, on ne peut que se demander si ce type de problème ne va pas connaître une recrudescence du fait de la banalisation des solutions de type « cloud ».
![[MàJ] Jeux vidéo : après s’être vidé un chargeur dans le pied, le moteur Unity fait volte-face](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/12832.jpg)
![[MàJ] Rachat d’Activision par Microsoft (avec Ubisoft) : pour la CMA, « le nouvel accord répond aux préoccupations »](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/10172.jpg)
