Dropbox, cher aux services de sauvegarde et de synchronisation des données, doit des explications à ses utilisateurs. Pendant longtemps, la société a déclaré que les données envoyées à ses serveurs sont totalement sûres et qu’il n’y a aucune chance que quelqu’un d’autre que le propriétaire du fichier y ait accès. Cependant, un chercheur a constaté que les choses ne sont pas tout à fait là.
Christopher Soghoian, un doctorant américain, a déposé une plainte officielle auprès de la Commission fédérale du commerce pour que cette curieuse affirmation selon laquelle les données sont surprotégées fasse l’objet d’une enquête. Selon l’étudiant, la pratique commerciale (et publicitaire) de la Dropbox mérite un examen public.
Dropbox utilise ce que nous appelons le hash pour analyser le contenu des fichiers envoyés par les utilisateurs. S’il est identique à un autre fichier qui existe déjà sur les serveurs de l’entreprise, Dropbox n’effectue pas le nouveau téléchargement, mais ajoute quand même le fichier à la liste des documents de l’utilisateur. C’est comme si, en essayant d’envoyer le fichier alice-no-pais-das-maravilhas.pdf (nom fictif, ok ?), le serveur détectait qu’il y a déjà un fichier avec le même hachage et évitait la duplication de documents identiques.
Pour l’étudiant, le personnel de la Dropbox pourrait très bien visualiser le contenu des fichiers. Il est important de rappeler que la société est la seule propriétaire des clés permettant de crypter puis d’inverser le processus de cryptage des documents.
En théorie, il est inutile de faire passer les serveurs par le cryptage AES 256 (considéré comme le plus puissant du marché avec une utilisation à grande échelle) si les fichiers peuvent être visualisés.
Après le dépôt de la plainte, Dropbox a modifié sa façon d’informer ses utilisateurs sur les aspects de sécurité du service. Sur la page d’objet, le passage qui indique que les fichiers “sont inaccessibles sans votre mot de passe” a été complètement supprimé du texte.
L’une des craintes est que Dropbox ne remette par inadvertance des fichiers qui sont censés être sous cryptage, principalement en raison d’ordonnances du tribunal. L’entreprise elle-même indique, toujours dans sa page de sécurité, qu’un nombre limité d’employés peut accéder aux données des utilisateurs, à condition que ce soit dans les situations prévues dans la politique de confidentialité, qui comprend des décisions juridiques.
Certains concurrents du service disent également qu’ils offrent une sécurité totale pour les données stockées. La différence est due au processus de cryptage, puisque les clés de ce processus sont stockées sur la machine de l’utilisateur. Dans Dropbox, c’est différent, ce qui complique la situation de l’entreprise par rapport à la FTC.
