Dropbox est l’un des noms les plus connus de l’espace de stockage cloud, c’est pourquoi vous pourriez être surpris d’apprendre qu’il n’utilise pas les algorithmes de chiffrement les plus sûrs et ne protège pas votre vie privée.

Bien que Dropbox soit protégé contre les attaques extérieures, il a subi des fuites de données par le passé. Il n’utilise pas non plus le chiffrement de bout en bout, et l’entreprise peut accéder à vos fichiers à tout moment. Dans cet article, nous vous expliquerons ce que cela signifie et comment vous pouvez protéger gratuitement vos fichiers dans le cloud sans renoncer au respect de la vie privée.

Dropbox est-il chiffré ?

À première vue, Dropbox offre une sécurité solide, tant pendant le transfert vers et depuis votre appareil qu’au repos sur ses serveurs. La sécurité pendant le transfert est gérée par le TLS, un protocole de chiffrement standard mais puissant utilisé par la quasi-totalité des services en ligne. Par exemple, nous l’utilisons également pour chiffrer votre connexion internet pendant que vous lisez cet article.

Une fois que les fichiers arrivent sur les serveurs de Dropbox, ils sont déchiffrés à l’accusé de réception, puis chiffrés à nouveau, cette fois à l’aide de l’AES-256. Il s’agit d’un algorithme de chiffrement sécurisé utilisé par les gouvernements, les armées et les entreprises du monde entier. Chez Proton, nous l’utilisons nous-mêmes dans tous nos services.

Cette méthode, où les fichiers sont chiffrés pendant le transfert, puis déchiffrés avant d’être à nouveau chiffrés au repos, est utilisée par de nombreux services d’espace de stockage cloud pour se protéger contre les cybercriminels. Le problème est que Dropbox néglige une menace majeure pour votre sécurité et votre vie privée : lui-même.

Quel est le niveau de sécurité réel de Dropbox ?

Lorsque vous parlez de sécurité, vous faites généralement référence aux menaces extérieures. Lorsque vous louez un box de stockage, vous y mettez un cadenas pour vous assurer que personne n’y pénètre et ne vole vos biens. Vous ne craignez pas que vos vieux meubles s’enfuient d’eux-mêmes.

Toutefois, lorsqu’il s’agit de données, vous devez vous inquiéter un peu de ce que font de vos informations les personnes chez qui vous les stockez. Peu importe la qualité de la protection contre les attaques extérieures, le service n’est pas vraiment sûr si les employés de l’entreprise peuvent accéder à vos fichiers.

Dans le cas d’un box de stockage, vous pouvez utiliser vos propres serrures pour être le seul à posséder les clés. Avec le stockage numérique, vous pouvez utiliser ce que l’on appelle le chiffrement de bout en bout (également appelé chiffrement côté client), une méthode de sécurité dans laquelle les fichiers sont chiffrés automatiquement sur votre appareil avant d’être importés sur le serveur. Votre fournisseur de stockage ne dispose pas de la clé de vos données, et les fichiers sont inaccessibles aux personnes qui exploitent le service.

Dropbox ne propose aucunement de chiffrement de bout en bout. Comme l’indique clairement l’entreprise sur son site internet(nouvelle fenêtre), si vous souhaitez utiliser le chiffrement de bout en bout, vous devrez utiliser un outil de chiffrement tiers et importer les fichiers chiffrés sur Dropbox. C’est peu pratique et cela rend impossibles de nombreuses fonctions essentielles, comme la synchronisation des fichiers.

Dropbox doesn't use private keys

Dropbox dispose certainement de garde-fous internes pour empêcher ses employés d’accéder aux données des utilisateurs, mais cela exige une grande confiance de la part des consommateurs. Même si Dropbox parvient à éviter les menaces internes, l’erreur humaine est également possible. L’une des plus importantes fuites de données de l’histoire du stockage cloud a été le piratage de Dropbox en 2012(nouvelle fenêtre), où un employé a réutilisé son mot de passe, s’est fait pirater et a compromis les mots de passe de 68 millions d’utilisateurs.

On pourrait penser qu’un employé d’une entreprise technologique saurait qu’il ne faut jamais réutiliser les mots de passe, mais cela montre que l’erreur humaine peut jouer un rôle important, même dans des scénarios de haute technologie.

Problèmes de respect de la vie privée chez Dropbox

Outre les risques de sécurité, l’absence de chiffrement côté client signifie que Dropbox ne respecte pas la vie privée. Comme Dropbox l’explique dans sa Politique de confidentialité(nouvelle fenêtre), il partage vos fichiers, les informations de votre compte, vos contacts et d’autres données personnelles avec d’autres entreprises, telles que Google, Amazon et OpenAI. Même si le fait que Dropbox détienne vos données ne vous dérange pas, vous n’avez peut-être pas envie que Dropbox les diffuse sur internet.

En plus de cela, Dropbox est une entreprise américaine qui doit se conformer aux demandes de données du gouvernement. Comme Dropbox peut accéder à vos fichiers, l’entreprise peut également partager ces fichiers avec les autorités(nouvelle fenêtre).

Que utiliser à la place de Dropbox

Dropbox a peut-être été le premier service de stockage cloud, mais sa façon de gérer les données des clients est dépassée : il n’y a aucune raison de renoncer au chiffrement côté client.

Chez Proton, nous utilisons le chiffrement de bout en bout pour tous nos services, y compris notre service d’espace de stockage cloud Proton Drive. Avec Drive, vous pouvez importer, synchroniser, partager et même prévisualiser vos fichiers, en ayant l’assurance qu’ils ne peuvent être lus par personne d’autre que vous et les personnes avec qui vous choisissez de les partager — c’est pourquoi nous parlons également de chiffrement à accès zéro.

Avec Docs dans Proton Drive, vous pouvez également profiter de la liberté de créer et de modifier des documents avec d’autres personnes, tout en sachant que votre contenu est protégé par le chiffrement de bout en bout par défaut.

Notre code est open source et audité par des experts en sécurité indépendants. Cela donne à notre communauté la certitude que notre chiffrement fonctionne comme nous le prétendons, sans avoir à nous croire sur parole.

En plus de cela, nous ne partageons vos données avec personne. Notre modèle économique repose sur des abonnements pour bénéficier de plus d’espace de stockage et de fonctionnalités supplémentaires, et non sur la publicité. Même si nous voulions partager vos données, nous ne le pourrions pas car nous n’y avons pas accès. Notre chiffrement de bout en bout s’applique même aux métadonnées importantes.

Contrairement à Dropbox, nous sommes basés en Suisse, où vos données sont protégées par des lois sur le respect de la vie privée parmi les plus strictes au monde. Nous ne transmettrions le peu de données que nous possédons que si un tribunal suisse nous l’ordonnait.

Si nous faisons tout cela, c’est parce que nous pensons qu’offrir un service de stockage de qualité et facile à utiliser ne suffit pas — nous devons également participer à la création d’un internet meilleur et plus respectueux de la vie privée. C’est notre mission depuis notre lancement, grâce au soutien de la communauté, en 2014, et elle l’est encore aujourd’hui. Si cela vous intéresse, rejoignez-nous et créez un compte Proton Drive gratuit dès aujourd’hui.