Vos documents sont-ils en sécurité sur le cloud?

L'«informatique dans le nuage» est très pratique. Elle vous permet d'avoir accès à vos documents partout, depuis un PC, un smartphone ou une tablette. Mais attention à ne pas y stocker de données trop confidentielles, prévient la Cnil...

Mercredi, certains utilisateurs de Dropbox, ont eu une mauvaise surprise. Le service de cloud computing, qui fait partie des plus connus, a reconnu d’avoir été victime de piratage. Certains noms d’utilisateurs et mots de passe ont été dérobés. Ce qui signifie que les «pirates» en question ont pu avoir accès aux documents qu’ils avaient stockés sur les serveurs de Dropbox. Heureusement pour l’entreprise, cela n’arrive pas souvent. Mais cet incident nous amène à nous poser deux questions: n’est-ce pas risqué de stocker ses documents personnels sur des serveurs en ligne et peut-on faire confiance à Dropbox, Google Drive, Skydrive, Amazon Cloud Drive, iCloud…?

«L’authentification devrait être plus forte» 

La plupart de ces services affirment tout mettre en œuvre pour protéger vos données. Google précise par exemple que les documents que vous stockez sont fragmentés, dotés d’un nom de fichier choisi au hasard et cryptés sur ses serveurs. C’est généralement le cas chez ses concurrents également. En revanche, sur votre compte utilisateur, les textes apparaissent en clair. Il suffit d’entrer votre mot de passe pour pouvoir lire vos Google docs ou vos documents Skydrive, comme pour accéder à votre messagerie électronique. En plus de Dropbox cette semaine, «il y a une multitude d’exemples qui montrent que des mots de passe se sont  retrouvés dans la nature. Le risque, c’est que d’autres personnes accèdent à vos données», nous explique Gwendal Le Grand, chef du service d’expertise informatique de la Commission nationale de l’informatique et des libertés (Cnil).

Effectivement, il est déjà arrivé que des comptes Google ou Hotmail soient compromis. Et dans la mesure où un pirate s’empare de ces mots de passe, il peut aller lire les documents stockés sur Google Drive et Skydrive. En mai 2011, Jeff Bezos, PDG d’Amazon, suggérait d’ailleurs aux utilisateurs de choisir des mots de passe renforcés pour accéder aux services de cloud: «La chose la plus importante que les consommateurs peuvent probablement faire, c’est de choisir des mots de passe plus complexes.» «En plus du mot de passe, il faudrait dans l’idéal vous demander un autre secret, ou vous proposer de vous envoyer un deuxième mot de passe par SMS. L’authentification devrait être plus forte», ajoute Gwendal Le Grand. Une solution qu’envisage Dropbox depuis le piratage de mercredi. Interrogé par 20 Minutes, Eric Filiol, chercheur spécialisé en sécurité informatique et directeur du centre de recherche de l’ESIEA, est d’accord mais soulève un problème: «Si on met des authentifications plus fortes, les gens vont être perdus.»

«On ne met jamais de document confidentiel sur le cloud» 

En attendant, «il faut s’imposer un certain nombre de règles: ne pas avoir de mot de passe trop simple et ne pas avoir le même mot de passe sur différents services sur Internet», conseille Gwendal Le Grand. Il précise que la sécurité du cloud est impossible à garantir. Par précaution, «il y a des types de contenus qu’il faut éviter de stocker en ligne, comme les données bancaires et les données médicales». Eric Filiol abonde dans son sens: «On ne met jamais de document confidentiel sur le cloud. C’est une règle. Par nature, tout environnement logiciel est fragile. On trouve régulièrement des failles dans les systèmes.» Le danger serait de retrouver ses photos de vacances sur Internet ou de voir ses documents détournés. Il s’agit d’un cas extrême mais Eric Filiol affirme que si quelqu’un stocke en ligne et se fait pirater sa comptabilité, par exemple, il n’est pas à l’abri d’une usurpation d’identité. Les risques sont plus élevés pour les entreprises qui se mettent parfois à tout stocker sur le cloud (y compris les documents financiers) pour réduire leur coût informatique. «Il faut absolument se renseigner au préalable», prévient Eric Filiol. 

L’expert met le doigt sur un autre point important: «Aux Etats-Unis, les entreprises sont soumises au Patriot Act», cela signifie qu’elles doivent communiquer les informations qui leur sont confiées sur demande des agences de renseignement des Etats-Unis. Le seul moyen d’échapper à cette intrusion dans votre vie privée est de choisir un service qui n’est pas américain et n’a pas de bureau aux Etats-Unis. Difficile quand les leaders dans le domaine du cloud s’appellent Microsoft, Amazon, Google et Apple. «En France il y a OVH, mais il veut s’introduire sur le marché américain», regrette Eric Filiol. 

Des conditions d’utilisation parfois obscures

Par ailleurs, «il y a des sociétés qui disent bien dans leurs règles de confidentialité qu’elles utilisent ces contenus pour améliorer leurs services (et donc se donnent le droit de regarder vos documents, ndlr), indique Gwendal Le Grand de la Cnil. Ce qu’il faut faire, c’est bien lire les règles de confidentialité et faire votre propre analyse de risque: est-ce que j’accepte que ce document soit analysé ou pas?».  20 Minutes s’est plongé dans les conditions d’utilisations de différents services. Certains ont une approche assez obscure du traitement des données. Ainsi, les CGU de Skydrive (Microsoft), spécifient: «Nous ne procédons à aucun contrôle ni à aucune vérification concernant  le contenu que vous (…) mettez à disposition sur le service». Mais plus loin, on lit: «Microsoft est susceptible d’utiliser, de modifier, d’adapter, de reproduire, de distribuer et d’afficher le contenu publié sur le service, et vous autorisez Microsoft à effectuer ces opérations». Dans ses CGU, Google explique quant à lui qu’il se garde le droit d’utiliser ces données pour améliorer ses services… «On ne peut pas dire que les offres de cloud soient faciles à comprendre», reconnaît Gwendal Le Grand.

Malgré tout, Eric Filiol affirme qu’il ne faut pas non plus diaboliser le cloud. C’est vrai que ce type de service est très pratique au quotidien.  Si un disque dur rend l’âme sans prévenir, le cloud permet d’avoir une sauvegarde. «Il faut juste considérer que ces documents peuvent être lus» avant de stocker quoi que ce soit, conclut l’expert en sécurité informatique.

Anaëlle Grondin