Appuyez sur Entrée pour voir vos résultats ou Echap pour annuler.

Cloud : le diable est dans les détails

Cet article est le troisième d’une série de trois sur les solutions de Cloud. Les deux premiers :

Pourquoi rappeler cette formule anglo-saxonne "Le diable est dans les détails" [1] à propos des solutions de cloud (stockage, partage et synchronisation de fichiers en ligne) ?

Parce que quasiment aucun des articles cités dans notre première partie ne mentionne certains points-clés.

Ces points sont pourtant incontournables : ils expliquent notre hésitation entre Google et Dropbox pour choisir la solution de cloud pour un groupe de travail d’une quinzaine de personnes [2].

Les voici.

Edition en ligne des documents

 Le tout récent partenariat Dropbox Microsoft [3] ne permettra pas de modifier directement en ligne ses fichiers hébergés sur Dropbox. En effet, seul l’iPad est concerné [4] pour le moment et de toute façon il n’est question que d’ouvrir les documents, pas de les "éditer".
Les solutions Microsoft et Google, permettent, elles, de modifier en ligne les documents.

Sécurité, confidentialité

 Les grands clouds "lisent" souvent vos documents :

  • Microsoft et Apple vérifient que rien dans vos fichiers n’est illégal. C’est implicite dans leurs CGU (en anglais : TOS) [5]
  • détaillons le cas de Google : les conditions générales d’utilisation de Google (un contrat qui vous engage donc ; "terms of service" ou TOS en anglais) lui donnent le droit de parcourir informatiquement/lire tout mail ou document présent sur ses services et de produire des produits dérivés de vos oeuvres/documents [6] — sans toutefois violer ses propres engagements de confidentialité.
    Rappelons également que Google a été condamné par la CNIL (en janvier 2014) et par ses consoeurs européennes pour « ne pas informer suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles » [7].

 Attaques et failles de sécurité :

 Peu de ces services gratuits cryptent vos données sur leurs serveurs de manière à les rendre illisibles en cas problème de sécurité ou de curiosité gouvernementale. Encore moins les cryptent côté client. Comme l’explique le site de l’éditeur Techniques de l’Ingénieur, « la plupart des services ont intégré le chiffrement des données dans leur technologie. Les données stockées sur Google Drive et OneDrive sont chiffrées lors de leur transfert vers les serveurs. Mais une fois dans le Cloud, ces données sont stockées en clair — sauf pour la version professionnelle de OneDrive. Dropbox, Box [et Mega] chiffrent les données stockées, mais détiennent les clés de chiffrement, ce qui leur permet d’accéder aux données des utilisateurs, même chiffrées. » [9]
Exceptions : Spideroak [10] qui crypte les données sans en stocker la clé chez lui [11]. Ce qu’on appelle du "zero-knowledge data storage" : personne d’autre que vous ne connaît le mot de passe, mais si vous le perdez, vous perdez vos données. Autres services encryptés de bout en bout : Tresorit et SecureSafe (voir notre article Mettre ses fichiers ou ceux d’un groupe dans le cloud : quelle application choisir ?).
Si le service que vous utilisez n’encrypte pas les données sur ses serveurs, vous pouvez le faire vous-mêmes si vous l’estimez nécessaire. Un ancien du service de messagerie cryptée Hushmail recommande [12] le logiciel TrueCrypt (il rend toutefois la synchronisation des fichiers quasi-impossible) et surtout le service allemand [13] (également disponible sur mobile) BoxCryptor (gratuit pour un usage personnel, donc sans partage de fichiers) pour le cloud et Hushmail pour le webmail ou PGP pour le mail (Pretty Good Privacy, voir GnuPG dit GPG et le module Enigmail pour Thunderbird [14] désormais, PGP étant désormais vendu par Symantec).
Un article de SiliconAngle [15] cite deux autres solutions gratuites de cryptage dans le cloud : Cloudfogger et Viivo (et deux solutions payantes).

Fichiers supprimés et anciennes versions

 La plupart de ces services gratuits ne gardent aucune version antérieure des documents modifiés ni ne permettent de récupérer un fichier supprimé.
Exceptions : Dropbox qui pendant 30 jours garde les versions anciennes et les fichiers supprimés, Google Drive qui garde 30 jours les anciennes versions seulement et Box qui garde juste les versions anciennes (mais ne permet pas de récupérer un fichier supprimé, sauf intervention par le support).

 OneDrive de Microsoft supprimera vos données après un an de non utilisation de votre compte [16].

Il faut relativiser cette limite : avec la plupart des clouds, la Corbeille Windows garde les anciens fichiers supprimés et permet de les récupérer.

Taille de stockage maximale des offres gratuites

 Dans les 15 Go offerts par Google, les photos de moins de 2048 x 2048 et vidéos de moins de 15 mn sont exclus du calcul, mais pas l’espace pris par vos mails et surtout les pièces jointes.

 Il est possible sans trop de difficultés d’augmenter le maximum officiel des offres gratuites de stockage, mais pas de travailler en groupe dessus si c’est par combinaison de solutions différentes :

  • utiliser les Go supplémentaires offerts pour les parrainages de nouveaux utilisateurs, particulièrement chez Dropbox où on peut arriver au total à 22 Go gratuits
  • utiliser plusieurs solutions de cloud séparément. Serge Paulus, par exemple, arrive ainsi à 75 Go gratuits [17]
  • il existe aussi une solution gratuite pour gérer Dropbox, Box, OneDrive, Google Drive et d’autres depuis un seul service : MultCloud [18]
  • in fine, surtout si on gère un groupe important (plus de 10 personnes) pour des besoins professionnels, il est recommandé de passer à une offre Pro payante. Non seulement pour partager sans problème mais aussi pour augmenter la sécurité (niveaux d’accès différenciés etc.).

Notes

[1The devil is in the details.

[2Pour certains de ces détails, ils sont rappelés dans un comparatif un peu ancien (juillet 2013) mais assez franc écrit par la SSII américaine Aptera. Ce n’est pas Google qui m’a indiqué ce comparatif mais une lecture attentive des commentaires sous un article de Cnet.

[3Microsoft et Dropbox nouent un partenariat autour d’Office / Vincent Hermann, NextInpact 4 novembre 2014.

[4Communiqué Dropbox, 4 novembre 2014.

[5Extrait des CGU Microsoft :
« 3.2. [...] Vous déclarez et garantissez que, pendant la durée du présent Contrat, vous disposez (et disposerez) de tous les droits nécessaires par rapport au Contenu que vous téléchargez ou partagez sur les Services et que l’utilisation du Contenu, tel que couvert dans ce paragraphe, n’enfreint aucune loi et ne porte pas atteinte aux droits de tiers.
3.3. Que fait Microsoft avec mon Contenu ? Lorsque vous transmettez ou téléchargez du Contenu vers les Services, vous octroyez à Microsoft le droit d’utiliser gratuitement ce Contenu dans le monde entier, selon les besoins [...] pour vous protéger et pour améliorer les produits et services Microsoft. »

[6Extrait des Conditions d’utilisation de Google au 30 avril 2014 :

« Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à ou à travers de nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’oeuvres dérivées (des traductions, des adaptations ou d’autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d’affichage public ou de distribution publique desdits contenus. Les droits que vous accordez dans le cadre de cette licence sont limités à l’exploitation, la promotion ou à l’amélioration de nos Services, ou au développement de nouveaux Services. Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d’utiliser nos Services (par exemple, pour une fiche d’entreprise que vous avez ajoutée à Google Maps). Certains Services vous proposent le moyen d’accéder aux contenus que vous avez soumis à ce Service et de les supprimer. Certains Services prévoient par ailleurs des conditions ou des paramètres restreignant la portée de notre droit d’utilisation des contenus que vous avez soumis aux Services en question. Assurez-vous que vous disposez de tous les droits vous permettant de nous accorder cette licence concernant les contenus que vous soumettez à nos Services.

Nos systèmes automatisés analysent vos contenus (y compris les e-mails) afin de vous proposer des fonctionnalités pertinentes sur les produits, telles que des résultats de recherche personnalisés, des publicités sur mesure et la détection des spams et des logiciels malveillants. Cette analyse a lieu lors de l’envoi, de la réception et du stockage des contenus. »

[7Délibération de la formation restreinte de la CNIL n°2013-420 du 3 janvier 2014 prononçant une sanction pécuniaire à l’encontre de la société Google Inc.

[8Dropbox dérape : sécurité et confidentialité de liens privés ? / Jérôme Vosgien, blog Sophos 9 mai 2014. Une faille de sécurité Dropbox laisse les comptes accessibles / Emilien Ercolani, L’Informaticien 21 juin 2011. Dropbox : 7 millions de mots de passe volés, à qui la faute ? / Florence Santrot, MetroNews 14 octobre 2014. Dropbox corrige la faille de sécurité touchant les documents partagés, Izitech 8 mai 2014.

[9Stockage en ligne : les alternatives à Dropbox / Fabien Soyez, techniques de l’Ingénieur 25 septembre 2014.

[10Spideroak est le seul service de cloud recommandé par l’ex-agent de la NSA Edward Snowden.

[11Wuala, également cité par Edward Snowden, a fermé mi-2015.

[125 Essential Privacy Tools For The Next Crypto War / Jon Matonis, Forbes.com 19 juillet 2012.

[13Five free Dropbox tools you’re not using (but should be) / Liane Cassavoy, PCWorld 29 août 2013.

[14Utiliser GPG dans Thunderbird pour envoyer des e-mails chiffrés / Timo Van Neerden, Le Hollandais Volant 12 octobre 2014. NB : les tutoriels du Hollandais Volant sont clairs et extrêmement utiles.

[155 Tools to Encrypt Files for Dropbox, Salesforce, Office365 + More / Mellisa Tolentino, SiliconAngle 25 septembre 2014.

[16Article 2.1 du Contrat de services Microsoft (leurs CGU).