Avec son Coffre-fort, Microsoft promet une sécurité renforcée au sein de OneDrive, avec double-authentification et même une couche de chiffrement BitLocker. De quoi réellement mieux protégrer vos données ?
Début octobre, Microsoft dévoilait une nouvelle fonctionnalité au sein de son service de stockage en ligne grand public OneDrive : le coffre-fort (ou Personal Vault). Annoncée l'année dernière, elle porte la promesse d'une protection renforcée. Mise en avant notamment à travers le scan de documents depuis un appareil mobile pouvant être ainsi « sécurisés ».
Car cela ne concerne pas de l'ensemble des données du compte, seulement celles placées dans ce « dossier » à part entière. Un point important, puisque nombre d'entre nous confient de plus en plus de fichiers – comportant parfois des données sensibles – à ces services. Ce, sans chiffrement côté client, ce qui peut être un problème en cas de faille ou de fuite.
Mais quelles sont les procédures de sécurité complémentaires mises en place et comment s'utilise le coffre-fort dans la pratique ? Nous avons testé la fonctionnalité pour vous aider à y voir plus clair.
Un volume chiffré via BitLocker sur votre PC
Commençons par ce que ce dossier n'est pas. Tout d'abord, il n'est pas directement accessible depuis votre machine. Il n'est représenté que sous la forme d'un simple raccourci en forme de coffre. Lorsque vous cliquez dessus, une fenêtre vous expliquera les grandes lignes de cet outil avant d'initier une procédure (en... 14 étapes) :
En réalité, c'est assez rapide, sauf si vous n'aviez pas déjà activé d'authentification à deux facteurs (2FA) pour votre compte Microsoft. Car le Coffre-fort regroupe en réalité trois points de sécurité :
- Un accès uniquement après une procédure d'authentification à deux facteurs (biométrie, SMS, application, etc.)
- Un verrouillage après 3 ou 20 minutes sans activité (paramétrable)
- Aucun partage des données n'est autorisé
Concernant le partage, on peut regretter que des possibilités, même limitées, ne soient pas proposées. Par exemple pour un coffre-fort secondaire laissant l'accès à un proche ou des membres de sa famille. Les clients de l'offre Microsoft 365 gratuite ou 100 Go sont limités à 3 fichiers, les forfaits supérieurs peuvent en profiter « dans la limite de l'espace de stockage OneDrive ». Mais comment s'assurer que de telles protections sont effectives et respectées ?
Sur PC, cela passe par l'utilisation d'un volume chiffré via BitLocker (sans compression/déduplication) dont la capacité s'adapte au gré de votre utilisation. Selon nos analyses, il est présent au sein de la machine sous la forme d'un fichier de disque virtuel (VHDX) placé dans le dossier caché OneDriveTemp
à la racine du périphérique de stockage principal.
Lorsque vous demandez à déverrouiller le Coffre-fort, c'est cette image chiffrée qui est dévérrouillée après validation de l'accès à votre compte Microsoft. Pour y accéder, une fois la procédure d'initialisation terminée, le raccourci Coffre-fort (visible à la racine de votre dossier OneDrive) peut avoir deux états :
- Si le Coffre-fort est verrouillé, elle initie une application OneDrive de déverrouillage
- Si le Coffre-fort est déverrouillé, elle renvoie vers un « dossier » caché du même nom
L'application OneDrive est lancée via la commande suivante :
odopen://unlockVault?accounttype=personal
Mais en y regardant de plus près, on constate que le dossier caché n'en est pas un. Il s'agit en réalité d'un lien symbolique (ou Junction) renvoyant au volume chiffré monté, permettant l'accès simplifié aux données. On peut verrouiller le Coffre-fort d'un clic (droit). Il est aussi possible de le désactiver facilement. La synchronisation à la demande y est exploitable.
S'agissant d'un disque virtuel classique, il peut même se voir attribuer une lettre d'accès (R: dans notre cas). On voit alors deux dossiers apparaître : un caché et le plus souvent vide (nommé OneDrive Temp et devant faire office de cache), et un second (VaultData) contenant les données du Coffre-fort. Il s'agit donc surtout d'une protection locale.
Le Coffre-fort n'est pas un chiffrement côté client
En effet, lorsque le Coffre-fort est verrouillé, les données qu'il contient sont inaccessibles, contrairement au reste de celles contenues dans le dossier OneDrive. Ainsi, une personne mal intentionnée ayant accès à votre ordinateur ou un rançongiciel ne pourront pas les lire, supprimer ou modifier sans passer par la procédure 2FA.
Mais cette protection a des limites. Tout d'abord, il est possible d'obtenir la liste des noms et empreintes des fichiers contenus dans le volume chiffré, même sans le déverrouiller. Microsoft prévient d'ailleurs de ce problème dans ses pages de support, précisant qu'une future mise à jour le corrigera.
Ensuite, il faut bien avoir conscience que ce n'est pas le volume chiffré et protégé via BitLocker qui est synchronisé avec les serveurs de OneDrive, mais bien les fichiers en clair. Pour le vérifier, il suffit d'ajouter un fichier dans le Coffre-fort et de regarder quand la synchronisation a lieu. Elle n'intervient que lorsque le volume est déverrouillé :
Ainsi, Microsoft synchronise les fichiers dans un dossier local chiffré pour renforcer les procédure d'accès et permettre le verrouillage, mais rien de plus. Si vous voulez éviter que les données en clair ne soient envoyées au serveur, ou ne pas avoir de limitation de 1 Go, il faudra continuer à utiliser d'autres dispositifs comme BoxCryptor, Cryptomator, rclone, etc.
Gare aux limitations
Il faut également composer avec d'autres limitations. Ainsi, sur mobile, il est impossible d'accéder à un fichier du Coffre-fort depuis les applications Office : « vous pouvez consulter des documents, mais vous devez déplacer un document hors du Personal Vault pour le modifier » précise Microsoft. Une restriction que l'on retrouve dans les applications tierces de sauvegarde et de synchronisation : les données du Coffre-fort n'y sont pas exposées, seulement via les clients officiels.
Dernier point : les fichiers supprimés via l'interface web de OneDrive ne sont pas visibles dans votre corbeille, sauf si le Coffre-fort y est déverrouillé. Mais « les fichiers supprimés de votre coffre personnel à l’aide de votre PC sont supprimés définitivement et n’apparaissent pas dans la corbeille de votre ordinateur. Toutefois, vous pouvez trouver les fichiers dans votre corbeille OneDrive.com s’ils ont été téléchargés préalablement sur OneDrive ».