Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Coffre-fort OneDrive : verrouillage, chiffrement et 2FA obligatoire... suffisant ?

Pas forcément
Coffre-fort OneDrive : verrouillage, chiffrement et 2FA obligatoire... suffisant ?

Avec son Coffre-fort, Microsoft promet une sécurité renforcée au sein de OneDrive, avec double-authentification et même une couche de chiffrement BitLocker. De quoi réellement mieux protégrer vos données ?

Début octobre, Microsoft dévoilait une nouvelle fonctionnalité au sein de son service de stockage en ligne grand public OneDrive : le coffre-fort (ou Personal Vault). Annoncée l'année dernière, elle porte la promesse d'une protection renforcée. Mise en avant notamment à travers le scan de documents depuis un appareil mobile pouvant être ainsi « sécurisés ».

Car cela ne concerne pas de l'ensemble des données du compte, seulement celles placées dans ce « dossier » à part entière. Un point important, puisque nombre d'entre nous confient de plus en plus de fichiers – comportant parfois des données sensibles – à ces services. Ce, sans chiffrement côté client, ce qui peut être un problème en cas de faille ou de fuite.

Mais quelles sont les procédures de sécurité complémentaires mises en place et comment s'utilise le coffre-fort dans la pratique ? Nous avons testé la fonctionnalité pour vous aider à y voir plus clair.

Un volume chiffré via BitLocker sur votre PC

Commençons par ce que ce dossier n'est pas. Tout d'abord, il n'est pas directement accessible depuis votre machine. Il n'est représenté que sous la forme d'un simple raccourci en forme de coffre. Lorsque vous cliquez dessus, une fenêtre vous expliquera les grandes lignes de cet outil avant d'initier une procédure (en... 14 étapes) :

OneDrive Coffre-fort InitialisationOneDrive Coffre-fort InitialisationOneDrive Coffre-fort Initialisation

En réalité, c'est assez rapide, sauf si vous n'aviez pas déjà activé d'authentification à deux facteurs (2FA) pour votre compte Microsoft. Car le Coffre-fort regroupe en réalité trois points de sécurité : 

  • Un accès uniquement après une procédure d'authentification à deux facteurs (biométrie, SMS, application, etc.)
  • Un verrouillage après 3 ou 20 minutes sans activité (paramétrable)
  • Aucun partage des données n'est autorisé

Concernant le partage, on peut regretter que des possibilités, même limitées, ne soient pas proposées. Par exemple pour un coffre-fort secondaire laissant l'accès à un proche ou des membres de sa famille. Les clients de l'offre Microsoft 365 gratuite ou 100 Go sont limités à 3 fichiers, les forfaits supérieurs peuvent en profiter « dans la limite de l'espace de stockage OneDrive ». Mais comment s'assurer que de telles protections sont effectives et respectées ?

Sur PC, cela passe par l'utilisation d'un volume chiffré via BitLocker (sans compression/déduplication) dont la capacité s'adapte au gré de votre utilisation. Selon nos analyses, il est présent au sein de la machine sous la forme d'un fichier de disque virtuel (VHDX) placé dans le dossier caché OneDriveTemp à la racine du périphérique de stockage principal.

Lorsque vous demandez à déverrouiller le Coffre-fort, c'est cette image chiffrée qui est dévérrouillée après validation de l'accès à votre compte Microsoft. Pour y accéder, une fois la procédure d'initialisation terminée, le raccourci Coffre-fort (visible à la racine de votre dossier OneDrive) peut avoir deux états :

  • Si le Coffre-fort est verrouillé, elle initie une application OneDrive de déverrouillage
  • Si le Coffre-fort est déverrouillé, elle renvoie vers un « dossier » caché du même nom

L'application OneDrive est lancée via la commande suivante :

odopen://unlockVault?accounttype=personal

Mais en y regardant de plus près, on constate que le dossier caché n'en est pas un. Il s'agit en réalité d'un lien symbolique (ou Junction) renvoyant au volume chiffré monté, permettant l'accès simplifié aux données. On peut verrouiller le Coffre-fort d'un clic (droit). Il est aussi possible de le désactiver facilement. La synchronisation à la demande y est exploitable.

S'agissant d'un disque virtuel classique, il peut même se voir attribuer une lettre d'accès (R: dans notre cas). On voit alors deux dossiers apparaître : un caché et le plus souvent vide (nommé OneDrive Temp et devant faire office de cache), et un second (VaultData) contenant les données du Coffre-fort. Il s'agit donc surtout d'une protection locale.

OneDrive Coffre-fortOneDrive Coffre-fort

Le Coffre-fort n'est pas un chiffrement côté client

En effet, lorsque le Coffre-fort est verrouillé, les données qu'il contient sont inaccessibles, contrairement au reste de celles contenues dans le dossier OneDrive. Ainsi, une personne mal intentionnée ayant accès à votre ordinateur ou un rançongiciel ne pourront pas les lire, supprimer ou modifier sans passer par la procédure 2FA.

Mais cette protection a des limites. Tout d'abord, il est possible d'obtenir la liste des noms et empreintes des fichiers contenus dans le volume chiffré, même sans le déverrouiller. Microsoft prévient d'ailleurs de ce problème dans ses pages de support, précisant qu'une future mise à jour le corrigera.

Ensuite, il faut bien avoir conscience que ce n'est pas le volume chiffré et protégé via BitLocker qui est synchronisé avec les serveurs de OneDrive, mais bien les fichiers en clair. Pour le vérifier, il suffit d'ajouter un fichier dans le Coffre-fort et de regarder quand la synchronisation a lieu. Elle n'intervient que lorsque le volume est déverrouillé :

OneDrive Coffre-fort Synchronisation

Ainsi, Microsoft synchronise les fichiers dans un dossier local chiffré pour renforcer les procédure d'accès et permettre le verrouillage, mais rien de plus. Si vous voulez éviter que les données en clair ne soient envoyées au serveur, ou ne pas avoir de limitation de 1 Go, il faudra continuer à utiliser d'autres dispositifs comme BoxCryptor, Cryptomator, rclone, etc.

Gare aux limitations

Il faut également composer avec d'autres limitations. Ainsi, sur mobile, il est impossible d'accéder à un fichier du Coffre-fort depuis les applications Office : « vous pouvez consulter des documents, mais vous devez déplacer un document hors du Personal Vault pour le modifier » précise Microsoft. Une restriction que l'on retrouve dans les applications tierces de sauvegarde et de synchronisation : les données du Coffre-fort n'y sont pas exposées, seulement via les clients officiels.

Dernier point : les fichiers supprimés via l'interface web de OneDrive ne sont pas visibles dans votre corbeille, sauf si le Coffre-fort y est déverrouillé. Mais « les fichiers supprimés de votre coffre personnel à l’aide de votre PC sont supprimés définitivement et n’apparaissent pas dans la corbeille de votre ordinateur. Toutefois, vous pouvez trouver les fichiers dans votre corbeille OneDrive.com s’ils ont été téléchargés préalablement sur OneDrive ».

14 commentaires
Avatar de wanou2 Abonné
Avatar de wanou2wanou2- 09/06/20 à 10:41:54

Du coup le chiffrement est pas franchement une valeur ajoutée...

Avatar de David_L Équipe
Avatar de David_LDavid_L- 09/06/20 à 11:04:45

Si, parce qu'il y a une protection locale intéressante pour les données au repos, ne serait-ce que pour ceux qui n'ont pas accès à Bitlocker (qui est pour rappel réservé à W10 Pro) ou ne l'on pas activé.

Mais on peut vite se faire avoir à penser que parce que c'est marqué chiffrement, c'est un chiffrement local au sens habituel des outils à utiliser en complément d'une solution de synchronisation. 

Avatar de Edtech Abonné
Avatar de EdtechEdtech- 09/06/20 à 14:09:22

Si le disque est déjà chiffré via BitLocker, il crée tout de même un VHD avec un chiffrement séparé ?

Avatar de Magyar Abonné
Avatar de MagyarMagyar- 09/06/20 à 14:24:43

ha oui, je trouve ça un peu nul, je pensais vraiment que ça synchronisait les fichiers chiffrés. L'intérêt est vraiment limité pour le coup. Il vaut mieux limite chiffré un zip et le mettre sur le drive...

Avatar de David_L Équipe
Avatar de David_LDavid_L- 09/06/20 à 14:35:44

Oui (bitlockerception) le problème est le même : si le PC est allumé les données sont accessibles, donc le coffre fort se referme au repos. 

Avatar de boko99 Abonné
Avatar de boko99boko99- 09/06/20 à 15:37:34

Donc il font payer un service qui propose juste : une copie locale chiffrée et une copie non chiffrée envoyée sur le cloud ?
Le principe est intéressant mais je vois un peu ça comme une arnaque... Surtout la limitation à 3 fichiers.

Avatar de David_L Équipe
Avatar de David_LDavid_L- 09/06/20 à 16:33:39

Non, la fonctionnalité est accessible à tous. Elle est utilisable sans limite à ceux qui ont au moins un abonnement d'un certain niveau (comme pour Office, accessible en Web uniquement jusqu'à un certain niveau, avec les applications classiques sinon). Après chacun est libre de faire autrement s'il ne veut pas l'utiliser ou s'il considère que ça ne lui convient pas. 

Avatar de dada051 Abonné
Avatar de dada051dada051- 10/06/20 à 08:17:49

C'est chiffré e local, le fichier lors de l'envoi est déchiffré, mais la connexion est sécurisée quand même. Et à priori, le stockage cloud de Microsoft est chiffré aussi. Donc le risque de voir partir ton fichier en clair dans la nature est très faible (le risque 0 n'existant pas, surtout en informatique)

Avatar de David_L Équipe
Avatar de David_LDavid_L- 10/06/20 à 08:59:13

Oui, après le seul truc pas chiffré c'est le stockage côté MS, ce qui peut poser des soucis ;)

Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 10/06/20 à 09:07:46

David_L a écrit :

Oui, après le seul truc pas chiffré c'est le stockage côté MS, ce qui peut poser des soucis ;)

Je ne comprends pas. L'emplacement ne serait pas chiffré côté serveur Microsoft ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Un volume chiffré via BitLocker sur votre PC
  • Le Coffre-fort n'est pas un chiffrement côté client
  • Gare aux limitations
S'abonner à partir de 3,75 €