Lorsque l'on utilise des services de stockage en ligne, on veut parfois protéger nos données des yeux indiscrets. Cryptomator est une application pensée avec cet objectif, qui vient de sortir dans une version retravaillée. Un outil intéressant, mais pas sans défauts.
Il y a près de trois ans, nous faisions le point sur différentes solutions permettant de chiffrer des données à stocker sur un NAS ou dans des services en ligne (Dropbox, Google Drive, OneDrive, iCloud, etc.). Dans la liste des solutions que nous avions alors analysées, il y en avait une qui cumulait plusieurs points forts : Cryptomator.
Open source, le logiciel était à la fois simple à prendre en main et multiplateforme. Il souffrait néanmoins de quelques défauts d'intégration, avec des performances parfois limitées. Depuis cette version 1.3, l'outil a évolué. En 2018 sortait la 1.4 ne misant plus principalement sur le protocole WebDAV. Deux ans plus tard, c'est la 1.5 qui voir le jour.
Mais dans la pratique, qu'est-ce que cela donne, et comment fonctionne Cryptomator désormais ?
Nouveau look pour une nouvelle vie
Commençons par la base : il s'agit toujours d'un outil open source. Son code est diffusé sur GitHub, sous licence GPL v3. L'équipe fonctionne toujours grâce aux dons (nous y reviendrons) et ses sponsors. Le seul goodie proposé sur sa boutique est un sticker reprenant le logo de l'application. S'il a été revu, il s'agit toujours du même gros robot tout vert.
L'objectif de Cryptomator est également inchangé : permettre de chiffrer simplement les données stockées dans des services « Cloud ». Ainsi, la protection est assurée directement depuis votre machine, sans dépendre du niveau de sécurité du service utilisé. Si jamais une fuite devait avoir lieu, seules les données chiffrées seraient récupérées.
Le tout repose toujours sur un chiffrement AES-256, propre à chaque vault (coffre en anglais). Les clés sont elles-mêmes protégées en suivant la RFC 3394 et une dérivée Scrypt. Les éléments aléatoires des clés sont générés par SecureRandom, La documentation technique complète est accessible par ici, une FAQ par là.
Pour rappel, l'intérêt principal d'outils tels que Cryptomator par rapport à d'autres comme VeraCrypt, est qu'ils chiffrent chaque fichier individuellement. C'est ce qui fait qu'ils sont adaptés à la protection de données destinées à être stockées en ligne. En effet, dans le cas de VeraCrypt, un fichier chiffré représente un volume entier. Si la moindre données y est modifiée, c'est tout le fichier chiffré qui l'est, et qui doit donc être remis en ligne (sauf si l'upload différentiel est géré).
Cryptomator 1.5 est tout d'abord une refonte de l'interface. Elle a entièrement été repensée et réécrite. Et puisque c'est désormais à la mode : il y a un thème sombre, d'autres pouvant être ajoutés. Attention, pour y accéder, il faut débloquer une « clé de don », un dispositif étrange puisqu'un don devant logiquement être sans contrepartie.
Il s'agit en réalité d'une licence qui ne dit pas son nom, ou plutôt présentée comme un équivalent « pour des personnes géniales utilisant un logiciel libre » à 15 dollars minimum (25 dollars par défaut). L'application est pour rappel disponible sous Linux, macOS et Windows, gratuite. Seules les versions Android et iOS sont proposées de manière payantes. Il faut ainsi payer 4,99 dollars pour une licence liée à votre compte utilisateur, sans renouvellement nécessaire.
Plusieurs nouveautés pour Cryptomator 1.5
Cette nouvelle mouture doit également simplifier la phase d'onboarding. Comprendre la façon dont un premier utilisateur va prendre en main l'outil, alors qu'il n'a aucune idée de comment il fonctionne.
Un point essentiel pour les outils de sécurité en général, et de chiffrement en particulier, toujours considérés comme trop complexes. Cette version 1.5 est le fruit de plusieurs mois de travail, commencé en septembre dernier, devant permettre à l'équipe de rompre avec l'ancienne branche 1.4. Trois bêta et trois Release Candidates ont été nécessaire pour y parvenir.
Dans les autres nouveautés, on trouve l'introduction du format 7 pour les vaults, devant améliorer la compatibilité avec certains services en ligne et les performances. Les noms des fichiers sont ainsi encodés via Base64url. Mais aussi d'une possibilité de restaurer l'accès en cas de mot de passe perdu, avec des clés de récupération générées par l'utilisateur.
Sous Windows 10, l'application pèse 60 Mo environ. Elle comprend ce qu'il faut pour Java (qui assure son aspect multiplateformes), Dokany est installé pour l'accès aux fichiers chiffrés. En effet, il est utilisé pour générer un système de fichiers au niveau utilisateur : on les voit en clair, le système y accède comme des éléments chiffrés.
Une prise en main toujours facile
Une fois que tout est en place, l'application prend la forme d'une simple fenêtre n'ayant pas tant changé en trois ans. Mais on y trouve plus d'informations pour l'utilisateur, l'ensemble ayant été réorganisé pour être plus clair. On regrette tout de même le point rouge incitant constamment à acheter une « clé de don », qui énervera sans doute certains.
C'est surtout ensuite que les choses évoluent. On est invité à ouvrir ou créer un coffre, dans le second cas, un assistant prend la suite. Il faut choisir un nom pour le coffre, indiquer s'il se trouve sur OneDrive ou un autre service, choisir un mot de passe et éventuellement créer une clé de récupération.
Cette dernière prend la forme d'un long texte que l'on peut copier ou imprimer. Dommage, le QR Code n'est pas proposé.
Une application que l'on peut encore améliorer
Il faut ensuite déverrouiller le coffre nouvellement créé, l'enregistrement du mot de passe sur la machine étant proposé. Il apparaîtra alors comme un lecteur disque au sein du PC. Celui-ci fait 255 Go, sans possibilité de modifier cette taille apparemment. Les paramètres sont assez légers : lancer l'application en mode caché, utiliser WebDAV plutôt que Dokany, vérifier les mises à jour, etc. Rien de très exceptionnel.
Lorsqu'un coffre est verrouillé, on peut modifier le mot de passe, gérer sa récupération, décider que le montage doit se faire sur une lettre ou un point de montage particulier, en lecture seule, avec certains paramètres, etc. L'interface est parfois simpliste mais plutôt claire et fluide dans son fonctionnement, ce qui est appréciable.
Côté performances nous étions limités lors de nos essais entre 180 et 230 Mo/s environ pour la copie d'un gros fichier au sein du coffre, contre 500/600 Mo/s pour une copie classique sans chiffrement. Un comportement que nous avons pu vérifier sur différentes machines. Bref, ce n'est pas la panacée, mais ce sera suffisant pour beaucoup.
