Tout d’abord, rappelons ce qu’est le stockage Cloud. Il s’agit d’un système informatique en ligne proposé par tous les grands acteurs du marché tels que Google Drive pour Google, One Drive pour Microsoft, iCloud chez Apple ou encore Dropbox. Il est fort probable que vous utilisiez déjà un de ces services de stockage en ligne sans même y prêter attention. Le Cloud est un espace de stockage accessible via internet à partir de n’importe quel périphérique et de n’importe où. Cette accessibilité instantanée a modifié notre façon de travailler, de partager et nous a permis de ne plus avoir à nous soucier de sauvegarder nos données.
Le piratage…
L’utilisation du Cloud offre de nombreux avantages, mais peut également présenter des risques pour la confidentialité et la sécurité de vos données.
Que se passe-t-il si quelqu’un pirate votre compte personnel ou pire, si un groupe de pirates accède à l’ensemble des données d’un fournisseur de services Cloud ?
Dans un tel cas, ils pourraient avoir accès à toutes les données hébergées sans qu’il soit certain que le fournisseur vous en informe. Bien que cela puisse être problématique pour une utilisation personnelle, cela pourrait être catastrophique pour une entreprise en termes d’image de marque, de recherche, de brevets et de secrets commerciaux.
Le Cloud ACT…
Une autre question qui fait débat est la loi américaine connue sous le nom de Cloud ACT. Cette loi extraterritoriale, adoptée en 2018, s’applique à tous les fournisseurs de services Cloud cités précédemment car ils sont soumis à la loi américaine. Elle permet aux autorités américaines, avec un mandat et l’autorisation d’un juge, d’accéder aux données hébergées dans des serveurs informatiques situés dans d’autres pays, au nom de la sécurité publique et de la lutte contre les infractions les plus graves, y compris le terrorisme.
En résumé, rien ne garantit que le gouvernement américain ne pourrait pas avoir accès à toutes vos données, recherches et secrets professionnels, qu’elles soient stockées aux États-Unis ou dans les datacenters européens de votre fournisseur de services Cloud.
La confidentialité…
Évoquons rapidement le fait que nous ne pouvons pas garantir que les services de notre fournisseur de stockage de données soient fiables et qu’ils ne puissent pas utiliser le contenu de nos données à des fins statistiques ou autres, sans notre consentement.
Nous avons délégué la responsabilité de stocker nos données à ces fournisseurs, mais nous ne pouvons pas être certains de leur intégrité ou de leur transparence en matière d’utilisation de nos données.
Une solution existe
Toutefois, cela ne doit pas nous dissuader d’utiliser ce service indispensable aujourd’hui, qui est même recommandé dans le cadre d’une stratégie de protection anti-rançongiciel complète et efficace.
Il existe des solutions logicielles spécifiques dédiées au chiffrement de vos données avant de les transférer sur votre espace de stockage Cloud. Techniquement, ces solutions sont particulières car elles chiffrent chaque fichier individuellement afin d’optimiser leur synchronisation. Contrairement aux solutions plus anciennes telles que TrueCrypt, qui créent un disque virtuel contenant tous les fichiers chiffrés dans un seul gros fichier, ces solutions dédiées permettent une synchronisation rapide même en cas de modification d’un seul caractère dans un fichier.
Pendant des années, j’ai utilisé personnellement BoxCryptor, un service très efficace mais un peu cher pour utiliser toutes les fonctionnalités. Leur fonctionnement est simple et efficace : BoxCryptor est une société allemande et leurs serveurs sont hébergés en Allemagne. En réalité, leurs serveurs sont utilisés pour stocker nos comptes et nos clés de chiffrement afin de rendre certaines fonctionnalités de partage de documents possibles. BoxCryptor utilise l’algorithme de chiffrement AES pour chiffrer les informations (fichiers), tandis que RSA est utilisé pour gérer les clés. Cependant, depuis quelques jours, BoxCryptor a annoncé son acquisition par la société de stockage Cloud Dropbox… Le nouveau problème est donc le respect du Cloud Act de la part de BoxCryptor, qui devient maintenant indirectement une société de droit américain.
Une autre solution existe
J’ai donc cherché une solution indépendante du Cloud Act, si possible open source et ne nécessitant aucun serveur intermédiaire. Ce miracle existe sous le nom de Cryptomator.
Son utilisation est extrêmement simple au quotidien et il est disponible gratuitement (sauf sur mobile où l’application est payante, mais cela reste bien moins cher que Boxcryptor).
La technologie de Cryptomator répond aux dernières normes et crypte à la fois les fichiers et les noms de fichiers avec AES 256 bits. Vos fichiers sont chiffrés avant leur transfert sur le cloud et sont déchiffrés après le retour sur votre périphérique. De plus, ils sont également chiffrés sur votre matériel si vous n’avez pas déverrouillé le disque virtuel. Ainsi, la sécurité est présente à tous les niveaux et si vous utilisez un mot de passe de qualité (je vais écrire un article sur ce sujet prochainement), le risque de voir fuiter vos secrets personnels ou professionnels est très limité.
Je tiens à préciser que cet outil chiffre également les noms des fichiers. Ainsi, si quelqu’un accède à votre ordinateur ou votre espace de stockage lorsque celui-ci est verrouillé, il ne pourra pas ouvrir vos fichiers chiffrés, mais il ne pourra pas non plus lire les noms de fichiers qui auront visuellement un nom incompréhensible.
Il n’y a aucune raison de ne pas utiliser un tel outil, qui permet de rendre vos fichiers disponibles sur tous vos appareils, même en déplacement sur votre smartphone, tout en garantissant un très haut niveau de confidentialité. Ce service ne nécessite que quelques clics quotidiens et Cryptomator fonctionne avec tous les fournisseurs de stockage en nuage, quelle que soit la quantité de données (rappelez-vous que chaque fichier est chiffré et transféré indépendamment). De plus, vous pouvez utiliser Cryptomator pour gérer différents espaces de stockage virtuels chiffrés en même temps, un pour les données personnelles sur iCloud de votre iPhone, et un autre professionnel sur un espace OneDrive Entreprise, par exemple.
N’oubliez pas que le chiffrement de vos données sur le Cloud permet de garantir leur confidentialité et leur intégrité, qui sont deux éléments clés dans la mise en place d’un plan complet de cybersécurité. N’hésitez pas à me contacter si vous souhaitez en savoir plus.
Spécialiste de la transition numérique et consultant en cybersécurité, je compte 25 ans d’expérience dans le privé et le public au service de la réussite des transitions d’administrations et TPE/PME. J’ai été notamment RSI d’un établissement public territorial et par la suite durant 3 ans Conseiller stratégique du président fondateur de Qwant le moteur de recherche européen. Plus récemment j’ai participé depuis sa création et durant 2 ans à l’hyper croissance d’une entreprise de cybersécurité spécialisée dans la protection et l’évaluation des risques de grandes entreprises et de services d’états.