Quelle sécurité dans les nuages, 6

Décidément, vouloir héberger ses documents dans les nuages n’est pas tout repos.

Précisions sur la politique de DROPBOX



Dans un mail adressé à ses utilisateurs, DropBox signale avoir changé ses conditions de service et sa politique de confidentialité.

« We wanted to let you know taht we’ve made some changes to the Dropbox Terms of Services. »

soit

« Nous voulons que vous sachiez que nous avons procédé à quelques changements dans les conditions générales d’utilisation du service. »

Cette première phrase, du mail envoyé aux actuels utilisateurs, porte à confusion.
A y regarder de plus près, DropBox ne change pas ses clauses d’origine qui concernent les libertés qu’il s’octroie, à savoir le droit d’utiliser, diffuser et partager les fichiers que vous uploadez. En réalité, le service rend plus clair et lisible cette pratique selon laquelle les fichiers envoyés sur DropBox appartiennent à … DropBox. Une pratique très généralisée chez les acteurs de ce secteur.
Reste que même si un utilisateur supprime ses documents de DropBox, ils sont récupérables pendant 30 jours. Les supprimer ne vous assure donc pas la sécurité de votre vie privée, du moins pendant 30 jours. D’ailleurs, pour l’instant nul ne sait si DropBox garde ou non une copie de sauvegarde de nos documents personnels, même une fois ces derniers supprimés.
DropBox écrit désormais avec plus de clarté que vos fichiers peuvent être utilisés, diffusés et partagés comme bon lui semble.

« By submitting your stuff to the Services, you grant us (and those we work with to provide the Services) worldwide, non-exclusive, royalty-free, sublicenseable rights to use, copy, distribute, prepare derivative works (such as translations or format conversions) of, perform, or publicly display that stuff to the extent reasonably necessary for the Service. »

Le contenu de Dropbox est chiffré, mais pas confidentiel.

Autre aspect gênant du service. Lorsqu’un utilisateur envoie des fichiers sur Dropbox, ces derniers sont chiffrés avec un algorithme et une clé de chiffrage délivrée automatiquement garantissant le secret des données stockées. Dropbox conserve un double de la clé pour optimiser son service, lequel requiert l’accès à vos données.
Au départ, Dropbox précise que « tous les fichiers stockés sur Dropbox sont chiffrés (AES-256)« , ce qui doit garantir la confidentialité de leur contenu. Ainsi, pour lire vos données, il faut cette clé de déchiffrage. Or comme le soulignait il y a 15 jours Sylvain Métille sur Numerama, si Dropbox affirmait durant de nombreux mois que les fichiers hébergés étaient soumis à un chiffrement (AES-256) et qu’ils étaient inaccessibles sans le mot de passe de l’utilisateur -seul l’utilisateur détenait, a priori, la clé de cryptage-, la version de DropBox n’est pas tout à fait celle que la société semble communiquer.

« Christopher Soghoian a démontré que cela n’était pas le cas et Dropbox a modifié les informations contenues sur son site. Maintenant Dropbox indique seulement que tous les fichiers sont chiffrés (AES-256) et admet que les employés peuvent accéder aux données (même si cela leur est interdit). Pour reprendre la comparaison, Dropbox admet avoir la clé du coffre. »

Toujours selon l’analyse de Sylvain Métille pour Numerama, il apparaît évident que le service utilise cette clé dont il possède le double, puisque « pour éviter de stocker un fichier déjà téléchargé par un autre utilisateur, DropBox compare les fichiers avec ceux déjà enregistrés et n’en conserve qu’une seule version« . Or il serait techniquement impossible de comparer les fichiers sans les déchiffrer.
Reste que les nouvelles clauses disponibles dans le mail adressé hier aux utilisateurs de DropBox se poursuivent par la phrase suivante.

« You retain ownership to your stuff. »

Soit

« L’utilisateur du service DropBox conserve la propriété intellectuelle de ses fichiers. »

Vous voilà donc rassurés, DropBox peut faire ce qu’il veut de vos fichiers synchronisés sur son service pour optimiser le fonctionnement de ses services, mais ne vous décharge pas de votre propriété intellectuelle, … c’est tout de même bien de garder le sens de l’humour dans ce genre de situation !

Source Numérama & 404TechSupport.com

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s