Discussion :

[Gordon Fowler]

iCloud : Apple aurait accès aux données hébergées de ses utilisateurs
Mais son service est loin d’être le seul, le Cloud en question ?


Le débat sur le Cloud et les espaces de stockages hébergés risque d’être relancé. Depuis hier, un site américain renommé affirme en effet qu’Apple aurait accès aux données que ses utilisateurs décident de stocker ou de synchroniser (musique, contacts, photos, favoris, etc.) via iCloud.

Soulignons tout de suite qu’Apple est loin d’être le seul dans cette situation puisque Ars Technica indique que des services comme Box.net ou Dropbox (entre autres) seraient également concernés.

« Vos informations ne sont pas à l’abris des yeux indiscrets », accuse le web-magazine. « Apple peut à tout moment consulter les données de iCloud, et dans certaines circonstances pourrait les partager avec les autorités ».

Le problème tient au fait que le chiffrement des données hébergées n’est pas optimal. Seuls leurs transfert seraient totalement sécurisés (en SSL). Un point de vue avancé par le chercheur Jonathan Zdziarski et la société spécialisée Securosis.

Pour eux, une fois qu’elles arrivent sur les serveurs, les clefs de chiffrements des données sont entre les mains d’Apple (ou de Dropbox ou de Box.net). Ce qui pose un problème important sur le contrôle de ses données et un risque qu’une personne interne au prestataire de service Cloud dérobe ces clefs.

« Dans un système de chiffrement symétrique, il y a toujours une porte dérobée », regrette pour sa part Echoworx, une société qui vend des solutions de sécurisation pour les produits Cloud. Même si Apple assure avori mis en place des process pour qu’un vol de ces clefs de chiffrement soit quasi impossible, Echoworx pense que la seule solution raisonnable serait que les plateformes passent toutes à des clefs asymétriques.



Aujourd’hui, « si vous pouvez le voir dans votre navigateur, ils peuvent le voir sur leurs serveurs » acquiesce Securosis. Avec des clefs asymétriques (une clef publique et une clef privée), seul l’utilisateur (qui est le seul à posséder cette clef privée) aurait accès à ses données.

Ces experts ne jettent pas pour autant la pierre à Apple. Un tel système de chiffrement asymétrique n’est pas simple à mettre en place, notamment dans le domaine très sensible (et très friand de synchronisation) qu’est le secteur de la mobilité. Et surtout il n’est pas simple à utiliser par « Madame Michu ».

Résultat, sans cette sécurit », iCloud ne devrait pas être utilisé dans un cadre professionnel. Une recommandation qu’Apple lui-même ferait à ses clients corporate si l’on en croit Ars Technica.

Les entreprises pourront se rabattre sur Exchange pour synchroniser les mails, les calendriers et les contacts. Et les personnes qui se sentent concernées par ces problématiques n’utiliseront iCloud que pour les données qu’elles jugent non sensibles.

En attendant que la démocratisation du chiffrement asymétrique ne règle toutes ces question. Une démocratisation qui malheureusement ne serait pas vraiment pour demain.

Source : Ars Technica

Et vous ?

Quelle solution professionnelle vous ou votre entreprise utilisez-vous pour synchroniser les informations sensibles ?

[antoinev2]

Mais le Patriot Act oblige toute entreprise de droit américain (ainsi que toutes leurs filiales dans le monde) à donner un accès aux services de renseignement américain à toutes les données qu'elle stocke.

Cela concerne aussi bien les données stockées sur le sol américain que celles stockées n'importe où dans le monde.

Et cela concerne aussi les sociétés qui ne sont pas de droit américain, mais qui stockent des données sur le sol américain.

Les seules données épargnées sont celles stockées en-dehors du sol américain par les sociétés qui ne sont pas de droit américain.

[pcdwarf]

Mais bon sang où est la surprise dans cette affaire.
Il ne se passe pas une semaine sans que des foules de naïfs découvrent éffarés que les données qu'ils stockent chez des tiers peuvent être lues et analysées par ces derniers...
Mais c'est une évidence !
Suis-je le seul ici à ne pas vivre dans un monde de bisounours ?
En fait, techniquement parlant, ce qui serait étonnant c'est qu'ils n'aient pas accès aux données tout simplement parce que ce serait beaucoup plus compliqué pour eux.
Et si ils peuvent le faire et si ils y ont un intérêt, ils le feront...

[Hesiode]

Mais bon sang où est la surprise dans cette affaire.
Il ne se passe pas une semaine sans que des foules de naïfs découvrent éffarés que les données qu'ils stockent chez des tiers peuvent être lues et analysées par ces derniers...
Mais c'est une évidence !
Suis-je le seul ici à ne pas vivre dans un monde de bisounours ?
En fait, techniquement parlant, ce qui serait étonnant c'est qu'ils n'aient pas accès aux données tout simplement parce que ce serait beaucoup plus compliqué pour eux.
Et si ils peuvent le faire et si ils y ont un intérêt, ils le feront...

ouf ! je pensais aussi être le seul !
C'est d'ailleurs pour cette raison que je n'utilise aucun cloud !
(hormis les mails qui restent sur le serveur jusqu'à ce que je les lise..

[Thorna]

Ah, re-voilà un débat sur la confidentialité du cloud (bizarre, on l'a déjà fait ici en novembre dernier...), ou la sécurité du cloud (là en août dernier, bientôt un an...).
Je pense que rien n'a changé depuis, et que confier ses données à qui que ce soit, c'est obligatoirement admettre une perte de sécurité, tant en ce qui concerne l'intégrité des données que leur discrétion. Et je ne vois pas non plus pourquoi ça changerait dans les années à venir, à moins que chacun se dote des outils nécessaires et chiffre toutes ses données avant de les envoyer dans au moins 2 services de cloud différents.
Edit : les avis ci-dessus finiraient-ils par laisser transpirer une certaine prise de conscience de la communauté ?

[Le Vendangeur Masqué]

On pourrait aussi parler du cloud de Microsoft (Azure), qui doit obéir aux mêmes règles de sécurité qu'iCloud, dont tout le monde semble ici avoir oublié l'existence...

Très étrange aussi de dire que parce qu'il respecte la loi US, iCloud ne doit pas être utilisé en entreprise.
Le scandale est donc de laisser MS s'accaparer ce marché sans rien dire...

C'est pour cela que soit on considère qu'iCloud est sans danger, soit on déconseille aussi (et surtout) Azure. C'est l'un ou l'autre...

[pcdwarf]

confier ses données à qui que ce soit, c'est obligatoirement admettre une perte de sécurité, tant en ce qui concerne l'intégrité des données que leur discrétion.

Excellente formule que je reprends à mon compte.

Ensuite, je conçois tout a fait que l'on accepte en pleine conscience d'utiliser des services cloud parce qu'on pense que le bénéfice est supérieur au risque.
Cependant, j'ai l'impression que la majorité des utilisateurs,ont un peu perdu le sens des réalités, font une confiance aveugle aux fournisseurs et surtout leur prêtent des valeurs morales qu'ils n'ont pas et auxquelles ils ne se plieront jamais sans une contrainte forte.
Je crois aussi que le débat sur la légalité des accès est un faux débat. Par définition, une loi n'est une barrière que pour ceux qui acceptent de la respecter. En matière de sécurité, ce n'est pas le droit qui importe mais la possibilité matérielle.

[LeSmurf]

C'est d'ailleurs pour cette raison que je n'utilise aucun cloud !
(hormis les mails qui restent sur le serveur jusqu'à ce que je les lise..

... et même un peu plus longtemps

En 2005 j'ai rencontré un français qui voyageait en Asie du sud-est. Sa situation familiale était "instable" et il voyageait depuis plusieurs mois pour "prendre de l'air". Sauf qu'à un moment, il a arrêté de communiquer avec sa famille qui a donc déclaré sa "disparition" aux autorités qui ont alors enquêté et ouvert sa boite émail. ils ont accédé à tous ses émails... y compris ceux qui étaient effacés depuis un bon moment. Effacés, y compris de la corbeille.

Moralité, même effacés les émails restent accessibles

[rawsrc]

ils ont accédé à tous ses émails... y compris ceux qui étaient effacés depuis un bon moment. Effacés, y compris de la corbeille.

Moralité, même effacés les émails restent accessibles

Ce qu'on a communément appelé "le droit à l'oubli" n'existe absolument pas dans le monde informatique. Une fois connecté, publié/échangé, il faut se dire que c'est perdu. Vous ne pourrez plus jamais réellement supprimer ce qui a été publié/échangé. C'est gravé dans le marbre. Enfin..., ici dans l'internet.

Il faut le répéter sans cesse et bien faire attention à ne pas abuser de ses 15 minutes de célébrité éphémère...
N'oublions pas que : "La méfiance est mère de sûreté".
Et c'est d'autant plus vrai avec les TIC.

[JBrek]

Mais bon sang où est la surprise dans cette affaire.
Il ne se passe pas une semaine sans que des foules de naïfs découvrent éffarés que les données qu'ils stockent chez des tiers peuvent être lues et analysées par ces derniers...
Mais c'est une évidence !
Suis-je le seul ici à ne pas vivre dans un monde de bisounours ?
En fait, techniquement parlant, ce qui serait étonnant c'est qu'ils n'aient pas accès aux données tout simplement parce que ce serait beaucoup plus compliqué pour eux.
Et si ils peuvent le faire et si ils y ont un intérêt, ils le feront...

Oui effectivement, je n'utiliserai pas un service cloud pour des données ultra sensibles. Cependant, j'utilise Amazon S3 pour effectuer des backups de données importantes mais avant de les envoyer sur S3 je les crypte en AES 256-bit.
Ne jamais envoyer de données en clair sur des serveurs distants qu'on ne maîtrise pas. C'est la règle.

[elmcherqui]

A Noter que microsoft a une offre cloud hybride , donc vous gardez vos données sensibles dans votre entreprise et données public sur azure . Sinon je suis daccord sur le fait qu'il faut toujours crypter avant d'envoyer ses données n'importe ou ( meme dans son propre disque dur externe ou sa clef usb )

[sylio4]

Le Cloud ,depuis le début ou on a commencé à en entendre parlé c'était SUPER ,c'était GÉNIAL, et c'est vrai que quand on y réfléchi c'est bien pratique.. mais Ca n'est pas encore une technologie "qui a fait ses preuves" je pense .. Des rumeurs sur la sortie éventuelle d'un cloud de Google circulent en ce moment (il me semble même que des suppositions ont été faites quant à la date de sortie de ce dernier) mais ... je pense que le nuage a encore a nous prouver qu'il peut être un endroit SÛR .... Rappelons tout de même qu'un ordinateur sur lequel quelqu'un va stocker des données sur son DD et qui n'est pas connecté à internet ,ne risque pratiquement rien ... sauf la destruction par des aliens venus d'ailleurs...le cloud est un service de stockage ONLINE.. pas sûr que les serveurs qui abritent nos données soient réellement hors de porté des hackers ...

[kolodz]

Je suppose que c'est la même chose chez les autres, mais chez google la partie "Règles de confidentialité" explique bien ce qu'ils collectent lorsqu'on utilise leurs services.

Les données que nous collectons servent à améliorer les services proposés aux utilisateurs. Il peut s’agir de données de base, telle que la langue que vous utilisez, ou de données plus complexes comme les annonces que vous trouvez les plus utiles ou les personnes qui vous intéressent le plus sur le Web.

J'imagine bien le document interne et confidentiel concernant le renouvellement du parc informatique mis dans le could et quelque jours plus tard tu trouve des mails de proposant une offre de vente d'ordinateur correspondant au besoin exprimé dans le document confidentiel.

Même si cela reste automatisé et que cela vise seulement à aider le client. Une information confidentiel se retrouve dans un contenu non confidentiel.

Certains n'y trouveront rien à redire. Mais, je trouve cela limite.

Outre le problème de fiabilité et de cryptage des données. Qui de toute façon à lieu sur un serveur propre à l'entreprise. Parce que le rapport confidentiel, il faut bien le transmettre aux personnes qui doivent le lire. (clé usb / email / version papier encore moins sûr...)

[Aizen64]

Ne me dites pas que ca choque beaucoup de monde ce genre de news.

C'est normal que des providers de services en ligne aient d'une certaine maniere access a certaines donnees de compte.

Pourquoi? Eseentiellement pour des questions de support, supposont qu'un compte Gmail, iCloud ou Dropbox ai un probleme de compte specifique, comment feraient ils pour resoudre certains problemes?

Il me semble egalement que Dropbox dit explicitement qu'ils peuvent avoir access a certaines metadonnees de compte. Ca me parait pas incoherent. Et ca m'etonnerai beaucoup qu'ils puissent acceder aux donnees d'un compte sans l'accord d'un client.

[berceker united]

Rendez-vous dans 6 mois pour le même genre d'information. Cloud+sécurité.
Nous ne sommes plus sur un support physique ou positionné géographiquement. Cette notion n'existe plus, du coup vous êtes vraiment dans le nuage pour la sécurité. Le Cloud il faut pas en avoir peur mais il faut savoir à quoi s'attendre. L'avantage avec l'hébergement c'est que vous êtes maitres et responsable de la sécurité ou d'intervenir, si vous en avez les compétences.

[hmzjbr]

Rendez-vous dans 6 mois pour le même genre d'information. Cloud+sécurité.
Nous ne sommes plus sur un support physique ou positionné géographiquement. Cette notion n'existe plus, du coup vous êtes vraiment dans le nuage pour la sécurité. Le Cloud il faut pas en avoir peur mais il faut savoir à quoi s'attendre. L'avantage avec l'hébergement c'est que vous êtes maitres et responsable de la sécurité ou d'intervenir, si vous en avez les compétences.

Pourquoi attendre 6mois?? Bajoo est déjà disponible à l'adresse bajoo.fr et sécurise de façon crypté tout les fichiers...

[kolodz]

C'est Bajoo.fr qui dit que c'est crypté ?
Ils cryptent le fichier avant de l'envoyer sur le serveur ?
Ils cryptent un dossier/archive ou fichier par fichier ?
Les noms des fichiers sont crypte ?
Envoyé à l'utilisateur de manière crypté ?
Qui vérifie que Bajoo crypte réellement les informations ?
Quel est la clé de cryptage ? login/pass à 6 caractères ?
(Le même que pour ton compte developpez ?)

Un solution de stockage fiable et sûr ça ce fait pas comme ça...
Et un disque dur d'un 1To à 75€/mois, même avec une connexion SSL, ça fait cher.

Si certaines lois sont votées, Bajoo sera obligé de vérifier la légalité du contenu présent sur ces serveurs. Et donc de l'analysé en clair.
C'est un sujet qui n'est pas près de s'arrêter...

Pour les paranos :
Une étude statistique est capable de retrouver une recherche google crypté simplement par la taille des mots proposé.
Il est probable que la taille d'un fichier et la taille du nom associé soit aussi une empreinte repérable.

[GruntZ]

EncFS + CryptKeeper, et voilà un petit espace d'intimité sur DropBox

http://www.crowd42.info/cryptkeeper-...dossiers-encfs

[bajoo]

C'est Bajoo.fr qui dit que c'est crypté ?
Ils cryptent le fichier avant de l'envoyer sur le serveur ?
Ils cryptent un dossier/archive ou fichier par fichier ?
Les noms des fichiers sont crypte ?
Envoyé à l'utilisateur de manière crypté ?
Qui vérifie que Bajoo crypte réellement les informations ?
Quel est la clé de cryptage ? login/pass à 6 caractères ?
(Le même que pour ton compte developpez ?)

Un solution de stockage fiable et sûr ça ce fait pas comme ça...
Et un disque dur d'un 1To à 75€/mois, même avec une connexion SSL, ça fait cher.

Si certaines lois sont votées, Bajoo sera obligé de vérifier la légalité du contenu présent sur ces serveurs. Et donc de l'analysé en clair.
C'est un sujet qui n'est pas près de s'arrêter...

Pour les paranos :
Une étude statistique est capable de retrouver une recherche google crypté simplement par la taille des mots proposé.
Il est probable que la taille d'un fichier et la taille du nom associé soit aussi une empreinte repérable.

Bonjour Kolodz,

Je me permets de te répondre :

C'est Bajoo.fr qui dit que c'est crypté ?
> Oui.

Ils cryptent le fichier avant de l'envoyer sur le serveur ?
> Oui, en utilisant la passphrase de l'utilisateur. Le tout en AES 256 bits ECB.

Ils cryptent un dossier/archive ou fichier par fichier ?
> Fichier par fichier

Les noms des fichiers sont crypte ?
> Non

Envoyé à l'utilisateur de manière crypté ?
> Oui, vu que c'est crypté avant l'envoi, c'est stocké crypté sur nos serveurs

Qui vérifie que Bajoo crypte réellement les informations ?
> La CNIL, avec qui on a fait valider techniquement notre projet avant de le mettre en place, notamment pour s'assurer de la légalité du chiffrement (il y a quelques années on était encore limité légalement sur les techniques de chiffrement utilisables).

Quel est la clé de cryptage ? login/pass à 6 caractères ?
> La phrase secrète (passphrase) choisie par le client, phrase que nous ne connaissons pas. C'est au client de la choisir le mieux possible, pour s'assurer de ne jamais l'oublier, sans qu'elle soit trop facilement trouvable ou trop faible.

Si certaines lois sont votées, Bajoo sera obligé de vérifier la légalité du contenu présent sur ces serveurs. Et donc de l'analyser en clair.
C'est un sujet qui n'est pas près de s'arrêter...
> Si de telles lois arrivent, un peu comme le Patriot Act aux USA, notre solution ne sera plus légale et devra s'arrêter en effet.
> C'est à nous tous de faire en sorte, en tant que citoyens français, que cela n'arrive pas.

> Rappel, nous ne pouvons en aucun cas déchiffrer les fichiers stockés sur nos serveurs, c'est la base de la solution. Même en cas de requête judiciaire, nous ne pourrons que fournir les fichiers chiffrés et laisser les agents policiers/judiciaires tenter de déchiffrer les fichiers.

[Battant]

Bonjour,

Franchement dropbox fait la même chose. Ils explique que c'est pour collaborer avec la justice. Où set le problème. Il y a quant même une politique de confidentialité. pensez-vous vraiment qu'ils auront le droit de faire n'importe quoi ?

J'attends vos réactions

Salutations