Après la violation de données de trop, quel est le niveau de sécurité de Dropbox ?

L'une des plus grandes solutions de stockage en ligne au monde est-elle vraiment efficace en matière de sécurité et de protection de la vie privée ?

2024-03-27
Il n'est pas surprenant que vous vous demandiez si Dropbox est sûr et sécurisé - après tout, il a eu sa part de scandales de sécurité. Dans ce guide, nous examinons les fonctions de sécurité de Dropbox et nous vous expliquons dans quelle mesure ce service de stockage en nuage est réellement sûr et confidentiel.

Dropbox a été lancé en 2008 et est rapidement devenu un nom de stockage en nuage populaire, avec 700 millions d'utilisateurs enregistrés en 2021. Si vous utilisez Dropbox, vous êtes probablement au courant des violations de données et des scandales qui ont émaillé l'histoire de ce service d'hébergement de fichiers. Bien que Dropbox soit un fournisseur big tech populaire, il existe aujourd'hui de nombreux fournisseurs de stockage alternatifs qui sont similaires, voire meilleurs et plus sûrs que Dropbox. Si vous vous demandez si Dropbox est sûr et confidentiel à 100 %, vous êtes au bon endroit. En tant qu'experts de la protection de la vie privée, nous examinons les caractéristiques de Dropbox en matière de confidentialité et de sécurité afin de vous aider à décider si vous pouvez encore lui faire confiance.

Nous l'avons déjà dit et nous le répétons : populaire n'est pas synonyme de meilleur, et malheureusement, populaire n'est jamais synonyme de privé. Surtout lorsqu'il s'agit de vos informations et données personnelles. Pendant de nombreuses années, Dropbox a été l'un des principaux fournisseurs de services de stockage en nuage, et après tous ses hauts et ses bas, vous apprendrez peut-être que Dropbox n'utilise toujours pas le chiffrement de bout en bout et ne protège malheureusement pas votre vie privée.

En bref, cela signifie que l'entreprise américaine a accès à vos fichiers et peut les consulter quand elle le souhaite. Ainsi, même si Dropbox investit fortement dans la protection de vos données contre les attaques externes, cela ne signifie pas qu'elle est à l'abri des espionnages internes. Poursuivez votre lecture pour en savoir plus sur les caractéristiques de sécurité et de confidentialité de Dropbox.

Table des matières :

Lorsque l'on cherche un fournisseur de services de stockage en nuage adapté, comme pour le courrier électronique, il n'y a pas qu'une seule chaussure qui convienne à tous. De nombreux facteurs doivent être pris en compte pour choisir le fournisseur idéal, le plus important étant, à mon avis, la sécurité et la confidentialité.

Lorsque je parle de sécurité des données, je parle de la façon dont vos données sont protégées. Si le fournisseur ne protège pas vos données personnelles contre les exploits externes et internes, dans quelle mesure est-il sûr ? La sécurité des données est mise en œuvre lorsque vos fichiers sont transportés de votre appareil personnel vers le nuage et lorsqu'ils sont stockés sur un serveur en nuage. La protection de la vie privée, tout aussi importante que la sécurité, concerne les personnes qui ont accès à vos informations privées et, le cas échéant, la manière dont votre fournisseur utilise vos données personnelles.

La référence ou l'étalon-or, pourrions-nous dire, en matière de stockage en nuage est celui qui dispose d'un cryptage à connaissance nulle, également appelé cryptage privé de bout en bout. Avec le chiffrement de bout en bout, seul l'utilisateur a accès à son compte et à ses informations privées. Malheureusement, Dropbox ne prend en charge aucun type de cryptage de bout en bout. Avec un cryptage approprié, vous avez la garantie que vous, et vous seul, avez accès à votre compte, ce qui permet de cocher les cases "confidentialité" et "sécurité".

Aperçu de la sécurité de Dropbox

En termes de sécurité, Dropbox adhère à de très bons protocoles lorsque vos fichiers sont en transit entre votre appareil et ses serveurs, ainsi que lorsque vos fichiers sont stockés sur ses serveurs. Comme indiqué sur son site web, lorsque vos fichiers sont en transit, Dropbox utilise le cryptage Secure Sockets Layer (SSL)/Transport Layer Security (TLS) - un protocole de cryptage standard utilisé par la plupart des services en ligne de nos jours. Le protocole TLS/SSL protège vos données lorsqu'elles transitent entre l'appareil et le serveur. Sans ce cryptage, vos données seraient vulnérables aux attaques externes et pourraient être lues par tout le monde, comme si vous envoyiez une carte postale.

Si vous utilisez Dropbox, vos fichiers sont cryptés lorsqu'ils sont en transit, décryptés à l'arrivée et cryptés à nouveau, mais cette fois avec la norme AES (Advanced Encryption Standard) de 256 bits. Lorsque vos données sont stockées au repos sur les serveurs Dropbox, elles sont protégées par un cryptage AES-256 bits, également utilisé par les armées et les gouvernements du monde entier. Le problème de la mise en œuvre du chiffrement par Dropbox est qu'elle a accès à la clé privée qui sécurise vos données. L'entreprise américaine a donc un accès total à toutes vos données et peut facilement les décrypter.

Dropbox security protocols

Dropbox utilise le cryptage SSL/TLS lorsque vos fichiers sont en transit et le cryptage AES-256 bits lorsque vos fichiers sont au repos sur leur serveur. Source de l'image : Dropbox

Bien que Dropbox utilise des protocoles de cryptage standard, il n'offre pas de cryptage de bout en bout, ce qui signifie que vos fichiers et vos informations privées sont accessibles sans que vous le sachiez. Ils ont accès à la clé de cryptage, ce qui signifie qu'en théorie, vos fichiers et informations privés sont accessibles à tous sur Dropbox. Comme nous l'avons mentionné, Dropbox est sûr à un niveau plus général, mais nous ne pouvons pas lui donner un coup de pouce pour son caractère privé ou pour le cryptage de bout en bout qu'il offre. Dans le cas de nombreuses grandes entreprises technologiques telles que Gmail ou Outlook, nous constatons à maintes reprises que, oui, elles sont sécurisées, mais qu'en ce qui concerne la protection de la vie privée, elles ne le sont pas du tout. La protection de la vie privée des utilisateurs n'est pas compatible avec leurs modèles économiques basés sur la publicité.

Et oui, bien sûr, Dropbox a une politique de confidentialité détaillée qui indique clairement quelles données ils utilisent et comment - mais pourquoi devraient-ils avoir accès à toutes ces données en premier lieu ? Devons-nous leur faire confiance ou existe-t-il des options plus sûres ?

Fonctions de sécurité supplémentaires

Dropbox prend en charge l'authentification à deux facteurs, qui ajoute une couche de protection à votre connexion. Comme pour de nombreux comptes en ligne aujourd'hui, vous pouvez ajouter cette protection supplémentaire en utilisant une clé de sécurité ou un code lors de la connexion, en plus de vos informations d'identification. Le 2FA est recommandé pour protéger vos comptes contre les attaques extérieures, notamment en cas de fuite de vos informations d'identification - ce qui s'est produit lors de la brèche de 2021 dans Dropbox, où 78 millions de mots de passe ont été compromis.

Mais est-ce vraiment sûr ?

Lorsque j'ai commencé à travailler chez Tuta, j'ai rapidement appris que la véritable sécurité et la confidentialité ne peuvent être atteintes que lorsque personne d'autre que l'utilisateur ou le destinataire prévu ne peut accéder à l'information - en utilisant des protocoles de cryptage stricts, de bout en bout, comme dans Tuta Mail. Avec le cryptage de bout en bout, le fichier est automatiquement crypté avant d'être transmis au serveur. Lorsque les fichiers reposent sur le serveur, ils sont inaccessibles et protégés, de sorte que personne, à l'exception de l'utilisateur possédant la clé de cryptage, ne peut y accéder.

Dropbox doesn’t offer end-to-end encryption

Si vous souhaitez crypter des fichiers sur Dropbox, les choses deviennent un peu plus techniques et délicates. Vous devrez utiliser un outil de cryptage tiers. Source de l'image : Dropbox

Dropbox ne propose aucune forme de cryptage de bout en bout par défaut, mais les utilisateurs ont la possibilité d'utiliser des outils de cryptage tiers tels que Veracrypt, qui permet de télécharger des fichiers cryptés sur Dropbox. Il est évident qu'il existe un moyen de contourner le chiffrement de bout en bout, mais il devrait s'agir d'une option par défaut dès l'inscription, et non d'un inconvénient au détriment de votre droit à la vie privée.

Pour résoudre ce problème, Dropbox a récemment acquis Boxcryptor, un outil de chiffrement de bout en bout qui vous permet de chiffrer vos fichiers Dropbox avant de les télécharger sur le nuage. Toutefois, on ne sait pas encore si et comment Dropbox va ajouter cette fonctionnalité en mode natif dans son application. Si vous souhaitez en savoir plus sur la manière de crypter vos fichiers Dropbox avec Boxcryptor, vous devez contacter Dropbox via son site web.

Problèmes de confidentialité liés à Dropbox

Le stockage dans le nuage devrait être un endroit où vous pouvez conserver vos fichiers et documents importants en toute confidentialité. Pour beaucoup, le cloud est le moyen idéal de sauvegarder des informations importantes telles que des documents fiscaux, des photos et des documents financiers que vous ne voulez pas perdre lorsque votre disque dur encombrant tombe en panne. Pour les entreprises qui possèdent des tonnes de documents, le nuage est l'endroit idéal pour stocker ces informations confidentielles - mais pour les entreprises, cela ne devrait être une option que si les documents restent confidentiels et privés. Malheureusement, dans le cas de Dropbox, les informations stockées ne sont pas privées, et sans confidentialité, on ne peut pas dire que les fichiers et les données des utilisateurs restent confidentiels. Cela soulève une grande inquiétude.

Que fait Dropbox avec les données des utilisateurs ?

Dans sa politique de confidentialité, Dropbox indique clairement qu'elle traite vos données personnelles, collecte et suit votre utilisation, votre appareil et votre adresse IP, et partage vos informations personnelles avec des tiers "de confiance" tels qu'Amazon, Google, OpenAI ainsi que d'autres sociétés appartenant à Dropbox. En plus de collecter un grand nombre d'informations sur vous, ils peuvent également les partager avec les forces de l'ordre et d'autres tiers, et vous, en tant qu'utilisateur, n'avez littéralement aucun contrôle sur ces pratiques de partage de données.

Juridiction de Dropbox

Un autre facteur à prendre en compte est la juridiction de Dropbox. Son siège social est basé aux États-Unis et la majorité de ses serveurs y résident également. Dropbox possède également des serveurs au Royaume-Uni, dans l'UE, au Japon et en Australie. Malheureusement, les utilisateurs n'ont pas le choix du lieu de stockage de leurs données. En ce qui concerne le stockage des données aux États-Unis, c'est un grand non pour nous, car nous connaissons tous les lois inexistantes sur la protection de la vie privée dans ce pays, qui facilitent l'accès des autorités aux données.

En fin de compte, la leçon à retenir est la suivante : à moins que vous n'utilisiez des outils tiers pour crypter vos données de bout en bout, vos données ne sont pas privées. En outre, il est évident que l'entreprise américaine recueille des quantités massives d'informations et de données sur les utilisateurs afin de les partager avec ses partenaires de confiance, tels que Google, dont le modèle économique repose sur l'affichage de publicités ciblées. De plus, le code de Dropbox n'est pas open source et n'adhère pas aux normes les plus strictes en matière de confidentialité et de sécurité - il n'y a pas de chiffrement de bout en bout par défaut. Non, Dropbox n'est pas l'option la plus sûre qui soit.

Heureusement, nous sommes en 2024 et il existe beaucoup plus de fournisseurs de services en nuage soucieux de la protection de la vie privée qu'il y a quelques années. Si vous souhaitez abandonner Dropbox, nous vous recommandons ces fournisseurs de cloud cryptés de bout en bout pour garantir la confidentialité de vos données.

Notre liste d'alternatives à Dropbox :

  • Tresorit: Un fournisseur suisse de stockage en nuage crypté qui a récemment été racheté par la Poste suisse. Bien qu'il opère en tant qu'entreprise indépendante, il peut susciter des inquiétudes car la Poste suisse est contrôlée par le gouvernement suisse.
  • Mega: Mega est le successeur rebaptisé de Megaupload, le projet controversé mené par Kim DotCom.
  • NextCloud: La collaboration open source et le stockage en nuage n'ont jamais été aussi faciles !
  • Tuta Drive!

Si ces solutions ne répondent pas à vos besoins ou si vous souhaitez continuer à utiliser DropBox, il est important que vous preniez le temps de crypter tous les fichiers localement avant de les télécharger dans le nuage. Cette solution de contournement permettra de préserver la sécurité et l'accessibilité de vos informations.

Quelle que soit l'option choisie, vos données doivent rester sécurisées aujourd'hui et à l'avenir. C'est pourquoi nous travaillons à la mise en place de notre propre plateforme de stockage en nuage cryptée post-quantique, Tuta Drive. Avec Tuta Drive, vous serez en mesure de garder vos données à l'abri des tactiques "Récolter maintenant, décrypter plus tard" utilisées par les programmes de surveillance gouvernementaux. Nous pensons que la vie privée doit s'étendre au-delà de la communication et que vos documents privés méritent les mêmes protections.

Continuons à améliorer l'internet ensemble !