Principaux enseignements
- Le stockage en cloud n’est peut-être pas aussi privé que vous le pensez, car de nombreux fournisseurs de cloud ont la capacité technique d’accéder à vos fichiers non cryptés.
- Le cryptage est essentiel pour sécuriser vos fichiers dans le cloud les méthodes de cryptage « au repos » et « en transit » offrant une protection contre l’accès par des tiers.
- À moins que vous n’utilisiez un fournisseur de cryptage à connaissance nulle, les fournisseurs de services en cloud peuvent potentiellement consulter vos fichiers ; envisagez donc d’utiliser un fournisseur respectueux de la vie privée ou de crypter vos fichiers avant de les télécharger.
Nous avons (presque) tous adopté les services en cloud. Mais vous êtes-vous déjà demandé : « Mon fournisseur peut-il voir mes fichiers ? ». Il ne s’agit pas d’une simple techno-paranoïa, mais d’une véritable préoccupation. Voyons comment le stockage dans le cloud peut ne pas être aussi privé que vous le pensez.
Comment fonctionne le stockage en cloud ?
Le stockage en cloud, c’est un peu comme le disque dur de votre ordinateur, mais agrandi à l’extrême et accessible sur l’internet. Lorsque vous enregistrez un fichier dans le cloud, vous louez un espace dans un gigantesque complexe d’appartements numériques où chaque fichier est comme un locataire.
Vos données sont découpées, stockées sur différents sites physiques et traitées conformément aux normes de sécurité et de confidentialité des données. Bien qu’il soit improbable que vos données disparaissent un jour, il est toujours bon de conserver des sauvegardes locales car, soyons réalistes, un accident peut arriver !
La confidentialité des données dans l’informatique dématérialisée
Lorsque nous confions nos précieuses données à des services d’informatique dématérialisée, il est naturel de s’interroger sur la protection de la vie privée. Les fournisseurs de services en cloud pourraient-ils jeter un coup d’œil furtif à vos fichiers ? La réponse n’est pas simple.
Il y a deux aspects cruciaux à prendre en considération : les obligations légales et les possibilités techniques. Les fournisseurs de services en cloud sont liés par leurs politiques de confidentialité et les lois locales sur la protection des données. Par exemple, le règlement général sur la protection des données (RGPD) en Europe peut infliger de lourdes amendes aux fournisseurs qui accèdent illégalement aux données d’un utilisateur.
Néanmoins, nous ne pouvons pas ignorer la faisabilité technique de l’accès à vos informations. Un fournisseur de services de stockage en cloud accédant à vos fichiers non cryptés est une possibilité réelle, tout comme un propriétaire pourrait hypothétiquement entrer dans votre appartement loué à tout moment, quelles que soient les lois locales en matière d’avis d’entrée. Mais qu’en est-il des personnes extérieures au hasard ? C’est là que le cryptage entre en jeu.
Chiffrement 101 : sécuriser vos fichiers dans le cloud
Le cryptage est une sorte de formule magique qui transforme les données en un texte indéchiffrable. Il rend les données illisibles pour quiconque ne possède pas la clé magique (ou clé de décryptage, en termes moins fantaisistes). Deux méthodes de chiffrement principales sont associées au stockage en nuage : « au repos » et « en transit ».
Le cryptage « au repos » consiste à crypter vos données stockées sur le serveur de votre fournisseur de services en nuage, ce qui les rend inaccessibles à toute personne accédant physiquement au serveur sans disposer de la clé de décryptage. Ainsi, si un pirate informatique parvient à télécharger ces fichiers, il ne peut toujours pas voir ce qu’ils contiennent.
Le chiffrement « en transit », quant à lui, protège vos données pendant leur trajet entre votre appareil et le serveur en nuage, et vice-versa. C’est comme envoyer un message codé par la poste : même si le colis est intercepté, le message qu’il contient reste inintelligible sans la clé de décryptage.
Ces méthodes permettent de tenir à distance les tiers indiscrets, mais qu’en est-il du fournisseur de services en nuage qui détient les clés de décryptage ? Il pourrait facilement lire vos données s’il le souhaitait.
Pour remédier à cette situation, certains fournisseurs soucieux de la protection de la vie privée proposent un cryptage « sans connaissance ». Avec cette approche, le fournisseur de services en nuage ne dispose pas de la clé de décryptage, ce qui rend techniquement impossible la lecture de vos données. Sync.com et Mega.io en sont des exemples notables.
Vous pouvez également pratiquer votre propre magie de cryptage en interne et protéger vos données en cryptant les fichiers avant de les télécharger dans le nuage. Une couche de protection supplémentaire garantit que vos fichiers restent illisibles pour les regards indiscrets.
Votre fournisseur de services en cloud peut-il vraiment accéder à vos fichiers ?
Après cette (semi-)plongée dans le monde du stockage en nuage, il est clair que la réponse est, la plupart du temps, « oui ». À moins que vous n’utilisiez un fournisseur à connaissance nulle, les fournisseurs de services en nuage pourraient consulter vos fichiers s’ils le voulaient vraiment.
La plupart des fonctions pratiques dont vous bénéficiez dans le nuage, comme la recherche du contenu de vos fichiers Google Docs ou la possibilité miraculeuse de rechercher « chats » dans Google Photos et de trouver toutes les photos de félins que vous avez jamais prises, sont possibles grâce à cet accès.
Pourtant, rassurez-vous, ces fonctions sont gérées par des logiciels ; aucun humain n’est censé fouiller dans vos données. Pourtant, les lois et les politiques de protection de la vie privée ne sont que des mots sur du papier. Elles ne peuvent pas empêcher une violation, mais seulement vous offrir une voie de recours si le pire devait se produire.
Par conséquent, réfléchissez bien à ce que vous envoyez dans le nuage. Envisagez un service à connaissance zéro ou cryptez vos fichiers avant d’appuyer sur le bouton de téléchargement. N’oubliez pas que dans le monde numérique, mieux vaut prévenir que guérir.
Est-ce vraiment arrivé ?
Nous avons établi que les fournisseurs de services en nuage pouvaient consulter le contenu de vos données d’une manière qui porte atteinte à votre vie privée en théorie, mais cela s’est-il réellement produit ? Pour des raisons évidentes, il peut être difficile de prouver que cela se produit à l’intérieur des murs des fournisseurs de services en nuage, mais il y a eu des cas inquiétants où des données de clients en nuage se sont retrouvées entre les mains d’employés ordinaires.
Selon un rapport, le personnel de Ring a regardé et partagé des vidéos enregistrées par des appareils de clients. En 2019, il a été rapporté que le Mouvement Desjardins avait subi une violation massive de données, causée par un employé qui a exposé les informations privées d’environ 2,9 millions de personnes. En 2018, Facebook (aujourd’hui Meta) a licencié un employé qui aurait abusé de ses privilèges d’accès aux données pour harceler des utilisatrices. Il ne s’agit là que d’une poignée d’exemples et d’incidents dont nous avons connaissance sans que l’on sache vraiment à quelle fréquence les gardiens de nos données dans le nuage sont tentés d’y jeter un coup d’œil.
Si vous voulez vous protéger, recherchez les fournisseurs de stockage en nuage qui proposent un cryptage à connaissance nulle. Si vous avez les compétences techniques, vous pouvez également héberger votre propre serveur en nuage avec Nextcloud, où personne d’autre que vous n’a accès à vos données. Enfin, si quelque chose est si sensible que vous seriez dévasté, que ce soit socialement, émotionnellement ou financièrement, en cas de fuite, envisagez de le crypter à l’aide de vos propres méthodes avant de le télécharger ou de ne pas le télécharger du tout et de vous appuyer sur des sauvegardes locales cryptées.