Sécurité du stockage cloud : nul n'est à l'abri
Le talon d'Achille des services de stockage dans le Cloud, ce sont les données partagées. Malgré les promesses des systèmes de sécurité, il n'est pas certain que seules les personnes approuvées puissent y accéder.
Quelques fournisseurs de services de stockage dans le Cloud ont adopté la solution de sécurité dite : «preuve à divulgation nulle de connaissance» (zero-knowledge). Ils pensent ainsi être à la pointe dans la protection de leurs clients contre l'espionnage. Cependant, selon une étude récente, des chercheurs en informatique de l'université Johns Hopkins se demandent jusqu'à quel point cette méthode est efficace. Généralement, les fournisseurs de services ne donnent qu'aux utilisateurs les clés d'encryption et ils n'ont pas accès à celles-ci. Mais des chercheurs ont découvert que, si des données sont partagées dans un service Cloud, le crypage devient perméable, permettant aux hébergeurs de lire ces données.
Ce cas d'école a introduit le doute dans la méthode du zero-knowledge. Il confirme les conseils des experts préconisant que les utilisateurs soient attentifs à la manière dont les fournisseurs de services manipulent leurs données. Ceux étudiés par les chercheurs, en l'occurrence Spider Oak, Wuala et Tresorit, cryptent les données lorsqu'elles sont stockées. Elles ne sont décryptées que lorsque l'utilisateur les télécharge à partir du Cloud. Cette méthode est sûre. Mais, selon Duane Wilson, un doctorant à l'Institut de sécurité de l'information, au département Informatique de l'université Johns Hopkins, « si les données sont partagées, c'est à dire envoyées via le service Cloud, les fournisseurs peuvent alors les lire.»
Donner de fausses références
Il est courant chez ces derniers, de se reposer sur un service intermédiaire de confiance qui confirme les identités des utilisateurs, avant de leur fournir les clés. Les chercheurs se sont aperçus que certains fournisseurs effectuent leur propre vérification. Cela leur donne la possibilité de, potentiellement, donner de fausses références leur permettant de lire les informations. C'est le même mode opératoire que celui de l'intermédiaire (man in the middle) dans les attaques de sécurité. «Bien que nous n'ayons aucune preuve qu'un fournisseur de service de stockage dans le Cloud ait tenté d'accéder aux données de ses clients, nous tenons à répéter que cela est possible », a déclaré Giuseppe Ateniese, professeur associé qui a supervisé l'étude. « C'est comme s'apercevoir que vos voisins ne verrouillent pas leurs portes. Nul n'a volé quelque chose dans leur maison. Mais ne pensez-vous pas qu'ils aimeraient savoir qu'il serait facile pour des voleurs d'entrer chez eux ? »
Des cadres de chez Spider Oak, l'un des fournisseurs cités dans l'étude qui offre un service zero knowledge, partagent certaines conclusions des chercheurs. Il encourage ses clients à utiliser une application sur leur poste de travail pour transférer leurs fichiers au lieu de passer par le portail de l'hébergeur. L'application sur poste de travail garantit que l'utilisateur est bien autorisé à décrypter les données. Il élimine ainsi la possibilité, pour le fournisseur, de manipuler les données. Lorsque les utilisateurs s'abonnent au service Spider Oak, ils sont invités à cocher une case indiquant qu'ils ont compris qu'il fallait passer par l'application poste de travail. Spider Oak prévoit de recourir à des services de collaboration, permettant de transférer en toute sécurité des fichiers dans son Cloud. Pour cela, le fournisseur mise sur la combinaison de services d'authentification sécurisés de type RSA avec sa plate-forme d'encryption. Des sociétés, telles que Silent Circle, ont recours à la reconnaissance vocale. Spider Oak cherche également un moyen élégant de vérifier que les données sont partagées uniquement avec ceux désignés par le propriétaire.
(droits photo : OVH)
