Accueil » Actualité » Dropbox chiffre les données mais garde la clé

Dropbox chiffre les données mais garde la clé

Image 1 : Dropbox chiffre les données mais garde la clé

Dropbox, un service de stockage en cloud très populaire, est au centre d’une polémique : les données, annoncées comme chiffrées en AES 256 bits, sont accessibles aux employés de la société. En effet, la société dispose d’une copie de la clé de chiffrement pour une raison simple : elle en a besoin pour limiter les coûts du service de stockage. Expliquons.

La gestion de la duplication des contenus

Partons d’un point concret : le stockage a un coût. Et donc, la quantité de données stockées a un impact certain sur les comptes de la société. Pour essayer de limiter les coûts en question, Dropbox intègre une gestion de la duplication des fichiers au niveau des serveurs : un fichier n’est présent qu’une seule fois physiquement sur Dropbox, même si plusieurs utilisateurs l’envoient. L’intérêt est double du côté de Dropbox : d’une part, il serra stocké une fois (et pas cinq, dix, cent fois) et d’autre part il y a un gain en bande passante, étant donné que l’envoi d’un fichier déjà présent est « instantané », quelle que soit sa taille réelle.

Le problème, c’est que pour vérifier si un fichier est déjà présent, il est nécessaire de l’analyser, ce qui est évidemment incompatible avec un chiffrement. Donc dans la pratique, et la société l’annonce depuis peu sur son site, les employés peuvent accéder à vos données, même si elles sont chiffrées. Les employés peuvent accéder aux données comme la taille ou le nom de vos fichiers, mais aussi — dans certains cas — aux informations contenues dans vos fichiers.

Le problème est l’illusion de sécurité que le chiffrement en AES amène : si les serveurs de Dropbox se font hacker, vos données, même chiffrées en AES 256 bits, ne sont pas protégées : le hacker risque de récupérer la clé en même temps que le contenu.

Dans la pratique, est-ce réellement un problème ? Probablement non pour la majorité des utilisateurs, mais il est important de savoir que les données chiffrées sont accessibles à d’autres personnes que vous et pensez à utiliser un autre service si c’est un point important dans votre cas.