Dropbox dérape : sécurité et confidentialité de liens privés ?

Tout d’abord, laissez-moi vous dire que je ne suis pas stupide au point de croire à la petite souris, à Sasquatch (alias Big Foot), ou aux liens privés.

Bizarrement, le dernier épisode de la série Dropbox concerne justement ces fameux liens privés.

Cette faille concerne le chargement vers DropBox d’un document contenant des liens, et le partage de ce dernier avec un ami.

Si vous partagez un document crypté avec un ami en utilisant cette URL privée, ce dernier, en cliquant sur un des liens de ce document, permet la divulgation de cette URL privée vis-à-vis du site hébergeant le lien, ou de n’importe qui surveillant votre trafic internet à ce moment-là (pour les liens HTTP non sécurisés).

Dans un article posté le 5 mai sur le blog, Dropbox déclare avoir résolu le problème, sans pour autant donner plus de détails sur ce qui a été réellement mis en place.

Je trouve cela très surprenant qu’une organisation comme Dropbox, considère comme sûr et fiable le fait de stocker des documents via leur plateforme, et de les partager en utilisant un simple lien privé.

Devons-nous vraiment croire que nos données sont en sécurité, et que personne ne peut découvrir ce lien magique ?

Les problèmes de sécurité avec Dropbox ne sont pas nouveaux. Dans le passé, il a été démontré que l’on pouvait mettre la main sur un fichier depuis le PC d’un utilisateur Dropbox, et ainsi utiliser ce fichier pour avoir accès aux autres fichiers, sans authentification.

Plus tard, nous apprenions l’implication d’un employé de Dropbox dans la récupération d’adresses email d’utilisateurs.

Enfin, le mois dernier, Dropbox a provoqué la confusion en envoyant une alerte à un utilisateur, qui avait partagé des documents protégés par copyright avec un ami.

Si Dropbox crypte vos données ou votre contenu, comment peut-il savoir que vous êtes un pirateur de films ? La réponse est très simple : ils ont les codes d’accès !

En réalité, si vous ne cryptez avec vos propres codes les données que vous chargez sur le Cloud, vous êtes à la merci de n’importe qui détenant les codes de son côté.

La meilleure approche, en terme de sécurité de données, et de faire confiance à personne. La plupart d’entre nous ne veut pas abandonner les avantages du Cloud, mais ne pensez pas naïvement que la devise « In Cloud We Trust » s’applique automatiquement !

Vous allez penser que je ne suis pas objectif, mais ma solution préférée est Safeguard Encryption pour le stockage sur le Cloud, et Sophos Mobile Encryption.

De cette manière, je peux utiliser de façon sûre Dropbox, Box.com, Egnyte, et bien d’autres directement depuis mon PC ou mon portable.

Le plus important est de crypter vos fichiers, et de les sauvegarder avant de les charger sur le Cloud. Certes, l’utilisation des produits Sophos n’est pas une obligation, mais nous apprécions toujours beaucoup quand un utilisateur a recours à nos solutions !

Graham Cluley a souligné dans un article, que Dropbox était informé au sujet de cette faille depuis novembre 2013, mais l’a ignoré pendant des mois. Le problème a été rapidement résolu dès que les médias ont commencé à s’y intéresser.

Au final et comme d’habitude, il est recommandé de faire le travail soi-même, pour être sûr qu’il a été réalisé correctement.

Billet inspiré de : “Dropbox stumbles over security and privacy of secret links” par Chester Wisniewski de Naked Security.

Partagez “Dropbox dérape : sécurité et confidentialité de liens privés ?” avec http://wp.me/p2YJS1-1ga