Sans que cela ne soit aussi mystérieux que la disparition (GAG ?) de Truecrypt, l’annonce du rachat de « certains » actifs de Boxcryptor par Dropbox a de quoi laisser perplexe. Autant on peut comprendre l’intérêt de Dropbox pour une solution de chiffrement de bout-en-bout, autant les conditions de ce rapprochement restent floues, tout comme les conséquences pour les utilisateurs.
Boxcryptor, un outil de chiffrement taillé pour le cloud
Rappelons d’abord que Boxcryptor est un produit de chiffrement de fichiers, qui fonctionne de façon très intégrée (et donc très ergonomique) sur Windows, avec un chiffrement local des fichiers qui permet ensuite de transférer et synchroniser ses données en toute tranquillité dans le cloud.
Cette technique n’est pas anodine, car ainsi le fournisseur externe (OneDrive, Drive, Box, Dropbox et autres) n’est pas en capacité technique de déchiffrer vos fichiers : vous êtes et restez seul maître des clés de chiffrement, lesquelles ne transitent jamais par le réseau et ne sont pas utilisées là-haut dans les nuages.
Seuls les fichiers chiffrés sont envoyés (même si ce point ne peut pas être vérifié directement par l’utilisateur lambda). Si vous ne faites pas confiance à Microsoft, AWS ou Apple qui vous jurent qu’ils n’accèdent pas à vos données, Boxcryptor est un excellent moyen d’éloigner d’éventuels yeux indiscrets et de se protéger du Cloud Act américain et de son équivalent chinois. L’outil sait aussi gérer les équipes (donc les clés multiples) et s’interface depuis peu avec Teams.
Dans l’explorateur, le fichier est visible avec une extension .bc, signifiant qu’il est chiffré. Il est aussi possible de chiffrer les noms.
Si on a accès aux mêmes fichiers, mais en passant par Boxcryptor, ils apparaissent comme dans un explorateur normal.
Une autre grande caractéristique de cet outil est de fonctionner en mode zero knowledge : les clés de chiffrement ne sont stockées nulle part ! Le mécanisme est de produire des clés (selon une méthode éprouvée cryptographiquement) à la volée, de manière qu’elles n’apparaissent qu’en mémoire vive, et qu’elles ne soient jamais stockées même en local. Et cela, nous avons pu le vérifier.
Enfin, Boxcryptor était la propriété de Secomba GmbH, une société allemande de taille plutôt modeste (son site web laisse apparaître une trentaine de profils), dont les investisseurs étaient issus d’Agile Partners, une société également allemande. La solution en elle-même avait fait l’objet d’un audit « indépendant » plutôt satisfaisant, de la part de la société suisse Kudelski, elle-même assez réputée dans son domaine. Donc bien que cet audit soit commandité par Secomba, on peut penser que les résultats fournis sont objectifs.
Des équipes de Boxcryptor désemparées
Le moins que l’on puisse dire, c’est que les salariés n’ont pas la même interprétation positive de cette stratégie. L’équipe des ventes et du marketing a été licenciée. Désormais, l’occupation des personnes concernées est probablement d’affûter leurs CV et de lancer les recherches pour se recaser. Ambiance de fête à la veille de Noël.
Côté Dropbox, on nous dit que de « nombreux » employés se verront offrir un poste au sein de Dropbox, sous réserve de finalisation de l’accord. « Nombreux » ne signifie pas tous : hélas, dans ce genre d'opérations, on se doute que tout le monde ne trouvera pas son compte, même si aucun des deux partenaires n’a fait mention de licenciements dans leurs communiqués sur le sujet.
Une communication peu convaincante
Quoi qu’il en soit, la première communication sur cette opération fut opaque. Pas un mot en dehors des communiqués officiels : Boxcryptor renvoie sur Dropbox, qui renvoie… à deux billets de blog ! « …mais nous n'avons malheureusement rien d'autre à ajouter pour le moment. Je ne peux que vous rediriger vers le blog […] partagé avec vous, et [notre blog] », nous répond la société.
Le 7 décembre, une nouvelle communication est lancée par Boxcryptor auprès de ses utilisateurs, se référant à un nouveau billet de blog : « Our new chapter with Dropbox ». Et là, c'est le refroidissement assuré : on comprend que Boxcryptor fonctionnera jusqu’à la fin des licences déjà souscrites, avec une petite rallonge (gratuite) au 28 février 2023 pour les licences Company et Entreprise, mais le service s’arrêtera ensuite.
Le porte-parole de Dropbox que nous avons recontacté nous a confirmé que plus aucune nouvelle licence ne sera accordée, pas même aux clients existants. La technologie zero knowledge de Boxcryptor, qui n’est d’ailleurs pas encore intégrée à Dropbox, sera par la suite réservée à ses clients payants. Dropbox recommercialisera-t-il un équivalent sous sa marque ? Toute la communication laisse penser que non, et pour l’instant rien n’indique qu’il sera possible de se synchroniser avec d’autres stockages clouds que Dropbox.
Boxcryptor montre tous les signes d’un abandon proche ; il ne pourra pas être repris non plus, les brevets essentiels devant désormais être la propriété de Dropbox.
Sus à la concurrence
La pérennité de Boxcryptor n’étant plus assurée, il ne nous reste qu’une solution : la fuite vers un concurrent. Mais vers qui ? Microsoft brille par l’absence de solution équivalente (permettant de chiffrer les contenus avant envoi dans le cloud) pour le grand public, probablement pour éviter les mêmes tourments qu’Apple lorsqu’il souhaite étendre au maximum le chiffrement de données de ses utilisateurs.
Même AIP a de grosses limitations comme de ne prendre en charge que certains types de fichiers, et la gestion des clés n’est pas des plus limpides pour un utilisateur final comme vous et moi et implique une double gestion de clés. Il faut alors se tourner vers d’autres éditeurs d’envergures disparates. Le problème principal est qu’il n’y a que très peu de solutions équivalentes.
Les conteneurs
Il est bien sûr possible d’utiliser des conteneurs, comme TrueCrypt et ses forks (le plus stable et le plus français étant VeraCrypt) ou Zed! (de PrimX). On peut également penser à BitLocker, cryhod ou LUKS/cryptsetup sous Linux mais avec un chiffrement des données uniquement au repos et au niveau d’un volume (et non d’un fichier), cela ne protège que du vol de matériel. Dès que la machine est allumée, les données sont en clair, et il n’est pas possible de contrôler la machine distante ni d’envoyer des fichiers en les chiffrant : on maîtrise (un peu) ce qui est en local, mais rien de ce qui est distant.
Or notre cas d’usage avec Boxcryptor est de chiffrer localement pour ensuite synchroniser les fichiers chiffrés sur un support distant. Si les conteneurs sont bien chiffrés localement, la moindre modification d’un seul octet d’un minuscule fichier obligera à renvoyer l’ensemble du conteneur, ce qui est acceptable pour une sauvegarde régulière, mais pas pour un transfert en temps réel par réseau. On ne pourra pas non plus ouvrir directement un fichier sans avoir à rapatrier l’ensemble du conteneur.
Les stockages cloud
Hors de périmètre également : les solutions comme le futur Dropbox, à savoir une solution annonçant chiffrer localement mais envoyant les données sur l'espace de stockage dédié. Certes, cela permet le chiffrement local, la synchronisation et l’ouverture on the fly d’un fichier, mais cela nous lie à un fournisseur et ne nous permet pas de sécuriser nos autres stockages éventuels (genre OneDrive ou Google Drive).
Parmi ces solutions, on trouve le français LockFiles et des solutions de backup ou de stockage cloud comme IDrive, Carbonite, ParSec, etc. Il existe de nombreux produits, on en trouve même de très bonne facture, mais sans offrir la souplesse de Boxcryptor.
Les yeux pour pleurer
« La cigale, ayant chanté Tout l'été,
Se trouva fort dépourvue
Quand la bise fut venue. »
Vous l’avez compris, les solutions de remplacement ne se bousculent pas au portillon. Nous vous avions parlé il y a quelque temps de Cryptomator, mais les alternatives sont rares. La règle semble donc être pour les différents éditeurs « je protège vos données, mais je les garde chez moi ».
Ou plus précisément : je garde le client chez moi. Il est très curieux que ce domaine de la protection des données reste aussi peu fourni en solutions fiables et de confiance. Une étude d’impact pourrait s’avérer nécessaire, et pour cela nous vous invitons à contribuer en commentaire en proposant tous les outils qui répondraient à cet objectif pourtant simple, à savoir protéger ses données stockées à l’extérieur, tout en y accédant et en les synchronisant de façon simple et rapide.
