Dropbox chiffre les données mais garde la clé
Dropbox, un service de stockage en cloud très populaire, est au centre d'une polémique : les données, annoncées comme chiffrées en AES 256 bits, sont accessibles aux employés de la société. En effet, la société dispose d'une copie de la clé de chiffrement pour une raison simple : elle en a besoin pour limiter les coûts du service de stockage. Expliquons.
La gestion de la duplication des contenus
Partons d'un point concret : le stockage a un coût. Et donc, la quantité de données stockées a un impact certain sur les comptes de la société. Pour essayer de limiter les coûts en question, Dropbox intègre une gestion de la duplication des fichiers au niveau des serveurs : un fichier n'est présent qu'une seule fois physiquement sur Dropbox, même si plusieurs utilisateurs l'envoient. L'intérêt est double du côté de Dropbox : d'une part, il serra stocké une fois (et pas cinq, dix, cent fois) et d'autre part il y a un gain en bande passante, étant donné que l'envoi d'un fichier déjà présent est « instantané », quelle que soit sa taille réelle.
Le problème, c'est que pour vérifier si un fichier est déjà présent, il est nécessaire de l'analyser, ce qui est évidemment incompatible avec un chiffrement. Donc dans la pratique, et la société l'annonce depuis peu sur son site, les employés peuvent accéder à vos données, même si elles sont chiffrées. Les employés peuvent accéder aux données comme la taille ou le nom de vos fichiers, mais aussi — dans certains cas — aux informations contenues dans vos fichiers.
Le problème est l'illusion de sécurité que le chiffrement en AES amène : si les serveurs de Dropbox se font hacker, vos données, même chiffrées en AES 256 bits, ne sont pas protégées : le hacker risque de récupérer la clé en même temps que le contenu.
Dans la pratique, est-ce réellement un problème ? Probablement non pour la majorité des utilisateurs, mais il est important de savoir que les données chiffrées sont accessibles à d'autres personnes que vous et pensez à utiliser un autre service si c'est un point important dans votre cas.
- Business,
- Cloud computing,
- dropbox ,
- cloud ,
- clé
- Les Chromebooks Series 5 de Samsung débarquent
- EIZO Foris FS2332 : un 23" à dalle IPS
- Des SSD SandForce à 556 Mo/s chez OWC
- Catalyst 11.6 : AMD active le Steady Video
- LTE : comment la 4G améliorera les réseaux
- Les SSD S511 d'A-Data arrivent
- Snapdragon : Krait, Adreno, 4G, le futur en marche
- Patriot : de la DDR3 pour les joueurs en AMD
- Elpida : 2 Gb de DDR2 mobile en 40 nm HKMG
- TDJ : comparatif CPU, GTX 560
- Tom's Guide : les nouveautés de Mac OS X Lion
- Le clavier des hackers revient, plus silencieux
- L'AC700, le Chromebook d'Acer, repoussé
- Le disque HDPC-AU de I-O Data passe à 1 To
- Adobe Air : universel, mais sans Linux
- Les évolutions du x86 chez Intel, avec AVX2
- Iiyama lance son ProLite B2008HDS (20")
- Des remaniements chez Globalfoundries
Wuala est bien plus sécurisé de ce point de vue là, mais comme tu l'as signalé, le débit s'en ressent egalement, et de beaucoup...
Dropbox dispose également d'une interface web via laquelle on peut naviguer dans son arborescence, télécharger les fichiers, etc. Impossible de faire ça sans garder la clef chez Dropbox.
Sinon, en termes techniques, leur "gestion de la duplication" s'appelle la déduplication.
De toute façon, si on stocke ses données en externe et qu'elles sont confidentielles, on doit les chiffrer AVANT de les envoyer, avec une clé inconnue du site de stockage.
Sinon c'est vraiment n'importe quoi.
En même temps les données réellement confidentiel ne sont pas stockés dans le Cloud. Crypté sur un serveur dans l'entreprise avec back-up quotidien sur DD externe mit ensuite en sécurité.
En même temps les données réellement confidentiel ne sont pas stockés dans le Cloud. Crypté sur un serveur dans l'entreprise avec back-up quotidien sur DD externe mit ensuite en sécurité.
Que tu dis... À partir du moment où un contrat "cloud" coute moins cher qu'une batterie de serveurs à demeure, t'en fais pas que nombre d'artistes de l'informatique en entreprise trouvent tous les arguments pour tout balancer in the air juste parce que ça fait bien
Pour un truc VRAIMENT safe, ca serait de ne faire confiance qu au boite dans un pays avec des lois sur la vie privee decentes (en gros PAS LES US!!!). Cryptees ou pas, je mes pas mes donnees sur un site heberge dans un pays ou les lois ne sont pas secure...
Ce qui me tue c est qu en France, on avait des boites qui faisait ca avant et surtout sous les lois Francaises (ou la c est la case prison si tu XXXX avec les infos privees des clients) et on n est pas capable d en profiter!! On avait un ISP qui a fait un truc enorme, un truc de visionnaire, et on a laisse tomber avant meme que le Cloud soit a la mode.
Pour les nostalgiques, regardez ce que nous Frenchies, on avait comme vision en 2007 ! Du Cloud sur TV / Mobile / PC / Web + Qrcode + m3U + etc.. ! Et j en passe.
Tout ca pour ne plus rien faire et vendre le bouzin a l etranger....
http://www.dailymotion.com/video/x [...] ongue_tech
Deux fichiers identiques cryptés par la même clef sont identiques et comparable (= et != ). pas besoin de les décoder pour les comparer.
Je ne comprend pas pourquoi ils ont besoin de la clef...?
Deux fichiers identiques cryptés par la même clef sont identiques et comparable (= et != ). pas besoin de les décoder pour les comparer.Je ne comprend pas pourquoi ils ont besoin de la clef...?
Parce que chaque utilisateur dispose de sa propre clef AES. Une seule clef de chiffrage pour l'ensemble des fichiers serait inutile / dangereux.
Deux fichiers identiques cryptés par la même clef sont identiques et comparable (= et != ).
Avec la crypto de grand mère, oui c'est le cas. Mais moi j'appellerai pas ça de la crypto, parce que dit toi bien que ce genre de propriété est très intéressante pour ceux qui veulent casser le code (et qui l'ont fait).
http://en.wikipedia.org/wiki/Block [...] _operation
@ pluie:
Je ne vois pas quel duplication de fichiers inter-utilisateurs peut-il avoir ?, il n'y à rien à comparer entre tes fichiers et les miens (backup-compta etc..), on parle bien de duplication de fichier encrypté avec la même clef (à mon avis)
@ Batchy:
RSA pas de la crypto...bon ok...et de la longueur variable sur disque je suis sur qu'ils (dropbox) ne l'on pas fait.
D'ailleurs qui le fait ?
@ pluie: Xvid ?
RSA pas de la crypto...bon ok...et de la longueur variable sur disque je suis sur qu'ils (dropbox) ne l'on pas fait.
D'ailleurs qui le fait ?
que tu utilise RSA ou AES, ça changera rien : si tu crypte comme le fait grand mère, sans aucun IV ou chaînage, alors tu crypte cette image non-compréssée :
en ça :
Ben oui, si deux block contenant du blanc doivent être cryptés pareils avec la même clef, les deux blocks cryptés sont identiques. Mais ça n'empêche que c'est manifestement pas sécurisé, et oui j'appelle pas ça de la crypto.
La bonne crypto à un chaînage qui fait que le cryptage du bloc suivant dépend du bloc crypté précédent. Et pour initialiser ce bouzin (pour éviter que le premier bloc reste vulnérable), il faut un vecteur d'initialisation, tiré aléatoirement et envoyé en clair.
Donc oui, deux fichiers cryptés avec la même clefs DOIVENT être différent, sinon ton cryptage pue.