Dropbox avait promis de réagir face à la crise de confiance d’une partie de sa clientèle. L’éditeur a donc annoncé hier que les utilisateurs européens pourraient, s’ils le souhaitent, stocker leurs données en Allemagne à compter du troisième trimestre. Il en a profité pour faire le point sur les mesures de sécurité proposées.
Dropbox, comme de nombreuses entreprises proposant des services en ligne, a été frappé par une crise de confiance dans le sillage des révélations d’Edward Snowden. En décembre dernier, la société américaine avait donc prévenu que ses utilisateurs européens pourraient stocker leurs données sur le Vieux Continent dans un futur proche. Depuis hier soir, on sait que le coup d’envoi sera donné durant le troisième trimestre de cette année et que les fichiers seront hébergés en Allemagne.
Un stockage basé sur les Amazon Web Services
L’entreprise ne créera pas pour autant son propre centre de données. Elle a noué un partenariat avec Amazon et utilisera donc les Web Services de ce dernier. La zone de disponibilité choisie est celle de Francfort, où Amazon a construit son plus récent centre de données, opérationnel depuis fin 2014. Cela étant, et au moins pendant un premier temps, seuls les clients professionnels de Dropbox pourront choisir le stockage européen.
Notez que Dropbox n’est pas le premier fournisseur à proposer un tel choix, ou tout du moins à en préparer l’arrivée. Amazon laisse déjà ce choix sur plusieurs de ses services, dont le futur WorkMail. C’est également le cas pour Microsoft avec Azure, dont le stockage peut être fait en Irlande ou aux Pays-Bas, au choix du client. Mais comme toujours, cette possibilité existe surtout pour les entreprises clients, les usagers grand public n’y ont pas encore accès.
De nouveaux locaux à Amsterdam
Quoi qu’il en soit, cette décision de Dropbox est une pierre de plus à l’édifice de sa stratégie européenne. Selon l’éditeur, 400 millions de clients utilisent le service de manière active, dont 75 % se trouvent hors des États-Unis. Sur cette part, une proportion importante (sans que l’on sache exactement combien) se situe en Europe, où le climat de méfiance envers les services de renseignement américains est pesant, l’échec des négociations autour du Safe Harbor ajoutant au marasme actuel.
Dropbox avait pour rappel déjà ouvert des locaux à Dublin il y a trois ans, puis en avait ajouté à Londres et Paris l’année dernière. En plus de sa stratégie de stockage, la société annonce d’ailleurs qu’une nouvelle antenne ouvre actuellement à Amsterdam, pour piloter la région Benelux.
Moins de 1 % des clients utilisent l'authentification à deux facteurs
Cette communication sur le stockage en Allemagne s’est accompagnée d’une autre, centrée sur la sécurité. Pour bien montrer que les données de ses clients professionnels sont préservées avec soin, l’éditeur a souhaité faire le tour des solutions de sécurité proposées, voire des compléments tiers qui peuvent être ajoutés dans certains cas.
La société rappelle que la force d’une chaine dépend de celle de son maillon le plus faible. Dans la ligne de mire, le mot de passe de l’utilisateur, un problème récurrent sur lequel nous revenons régulièrement. Dropbox indique que les attaques menées contre son service ne concernent que rarement ses applications ou son infrastructure, mais bien les mots de passe des utilisateurs. Dans 95 % des cas, les tentatives malveillantes sont bloquées de manière automatique, ce qui ne doit pas empêcher l’utilisateur de se protéger de manière plus efficace, notamment avec des mots de passe complexes.
Dropbox tient donc à faire le point sur certaines options, à commencer par l’authentification à deux facteurs, ou 2FA. Sur les 400 millions d’utilisateurs que compte le service, seuls 1,5 million d’entre eux l’utilisent, soit moins de 1 % du total. Mais l’entreprise insiste : ces comptes n’ont jamais été compromis. En outre, en milieu professionnel, un administrateur a la possibilité de rendre obligatoire la 2FA pour l’ensemble des employés. Idéalement, Dropbox recommande d’ailleurs d’activer une telle option partout où elle est possible : Facebook, Salesforce, Apple, Google et autres.
L'insistance sur la sécurité
Parmi les autres possibilités, Dropbox rappelle que son service est compatible avec le standard SAML (Security Assertion Markup Language) et donc avec l’authentification unique (single sign-on). Plus question de mots de passe ici, mais d’un jeton de sécurité qui peut être exploité de différentes manières. L’idée est ici de ne plus avoir de mots de passe à retenir, cette donnée pouvant être égarée, dérobée ou autre. Au « pire », la société indique que l’utilisateur peut se servir d’un gestionnaire de mots de passe pour les générer et les stocker. Elle cite le cas de 1password, mais on pourrait tout aussi bien parler de Dashlane, KeePass et LastPass.
Si Dropbox insiste particulièrement sur la sécurité, c’est qu’elle sait qu’elle est une condition sine qua non à son développement. L’entreprise ne peut évidemment pas ignorer qu’il suffirait d’un seul cas de données dérobées pour lui faire une très mauvaise publicité et ainsi affecter sa croissance. Elle insiste par exemple sur la nécessité d’avoir une politique transparente sur la découverte et la correction des failles de sécurité. Elle dispose d’ailleurs d’un programme de chasse aux bugs, géré par HackerOne. Elle participe également à la Threat Exchange, une plateforme de mise en commun des informations liées aux menaces.
