Securité des données et Cloud - PC-PORTABLES&CO AMI-SERVICES N°1 en PICARDIE Hauts de France Oise L'informatique des professionnels groupe FRP2I

Aller au contenu

Menu principal :

Securité des données et Cloud

Nouveautés

Securité des données et Cloud
HIGH TECH - L'«informatique dans le nuage» est très pratique. Elle vous permet d'avoir accès à vos documents partout, depuis un PC, un smartphone ou une tablette. Mais attention à ne pas y stocker de données trop confidentielles, prévient la Cnil...

Mercredi, certains utilisateurs de Dropbox, ont eu une mauvaise surprise. Le service de cloud computing, qui fait partie des plus connus, a reconnu avoir été victime de piratage. Certains noms d’utilisateurs et mots de passe ont été dérobés. Ce qui signifie que les «pirates» en question ont pu avoir accès aux documents qu’ils avaient stockés sur les serveurs de Dropbox. Heureusement pour l’entreprise, cela n’arrive pas souvent. Mais cet incident nous amène à nous poser deux questions: n’est-ce pas risqué de stocker ses documents personnels sur des serveurs en ligne et peut-on faire confiance à Dropbox, Google Drive, Skydrive, Amazon Cloud Drive, iCloud…?

«L’authentification devrait être plus forte»

La plupart de ces services affirment tout mettre en œuvre pour protéger vos données. Google précise par exemple que les documents que vous stockez sont fragmentés, dotés d’un nom de fichier choisi au hasard et cryptés sur ses serveurs. C’est généralement le cas chez ses concurrents également. En revanche, sur votre compte utilisateur, les textes apparaissent en clair. Il suffit d’entrer votre mot de passe pour pouvoir lire vos Google docs ou vos documents Skydrive, comme pour accéder à votre messagerie électronique. En plus de Dropbox cette semaine, «il y a une multitude d’exemples qui montrent que des mots de passe se sont  retrouvés dans la nature. Le risque, c’est que d’autres personnes accèdent à vos données», nous explique Gwendal Le Grand, chef du service d’expertise informatique de la Commission nationale de l’informatique et des libertés (Cnil).

Effectivement, il est déjà arrivé que des comptes Google ou Hotmail soient compromis. Et dans la mesure où un pirate s’empare de ces mots de passe, il peut aller lire les documents stockés sur Google Drive et Skydrive. En mai 2011, Jeff Bezos, PDG d’Amazon, suggérait d’ailleurs aux utilisateurs de choisir des mots de passe renforcés pour accéder aux services de cloud: «La chose la plus importante que les consommateurs peuvent probablement faire, c’est de choisir des mots de passe plus complexes.» «En plus du mot de passe, il faudrait dans l’idéal vous demander un autre secret, ou vous proposer de vous envoyer un deuxième mot de passe par SMS. L’authentification devrait être plus forte», ajoute Gwendal Le Grand. Une solution qu’envisage Dropbox depuis le piratage de mercredi. Interrogé par 20 Minutes, Eric Filiol, chercheur spécialisé en sécurité informatique et directeur du centre de recherche de l’ESIEA, est d’accord mais soulève un problème: «Si on met des authentifications plus fortes, les gens vont être perdus.»

«On ne met jamais de document confidentiel sur le cloud»

En attendant, «il faut s’imposer un certain nombre de règles: ne pas avoir de mot de passe trop simple et ne pas avoir le même mot de passe sur différents services sur Internet», conseille Gwendal Le Grand. Il précise que la sécurité du cloud est impossible à garantir. Par précaution, «il y a des types de contenus qu’il faut éviter de stocker en ligne, comme les données bancaires et les données médicales». Eric Filiol abonde dans son sens: «On ne met jamais de document confidentiel sur le cloud. C’est une règle. Par nature, tout environnement logiciel est fragile. On trouve régulièrement des failles dans les systèmes.» Le danger serait de retrouver ses photos de vacances sur Internet ou de voir ses documents détournés. Il s’agit d’un cas extrême mais Eric Filiol affirme que si quelqu’un stocke en ligne et se fait pirater sa comptabilité, par exemple, il n’est pas à l’abri d’une usurpation d’identité. Les risques sont plus élevés pour les entreprises qui se mettent parfois à tout stocker sur le cloud (y compris les documents financiers) pour réduire leur coût informatique. «Il faut absolument se renseigner au préalable», prévient Eric Filiol.

L’expert met le doigt sur un autre point important: «Aux Etats-Unis, les entreprises sont soumises au Patriot Act», cela signifie qu’elles doivent communiquer les informations qui leur sont confiées sur demande des agences de renseignement des Etats-Unis. Le seul moyen d’échapper à cette intrusion dans votre vie privée est de choisir un service qui n’est pas américain et n’a pas de bureau aux Etats-Unis. Difficile quand les leaders dans le domaine du cloud s’appellent Microsoft, Amazon, Google et Apple. «En France il y a OVH, mais il veut s’introduire sur le marché américain», regrette Eric Filiol.

Des conditions d’utilisation parfois obscures

Par ailleurs, «il y a des sociétés qui disent bien dans leurs règles de confidentialité qu’elles utilisent ces contenus pour améliorer leurs services (et donc se donnent le droit de regarder vos documents, ndlr), indique Gwendal Le Grand de la Cnil. Ce qu’il faut faire, c’est bien lire les règles de confidentialité et faire votre propre analyse de risque: est-ce que j’accepte que ce document soit analysé ou pas?».  20 Minutes s’est plongé dans les conditions d’utilisations de différents services. Certains ont une approche assez obscure du traitement des données. Ainsi, les CGU de Skydrive (Microsoft), spécifient: «Nous ne procédons à aucun contrôle ni à aucune vérification concernant  le contenu que vous (…) mettez à disposition sur le service». Mais plus loin, on lit: «Microsoft est susceptible d’utiliser, de modifier, d’adapter, de reproduire, de distribuer et d’afficher le contenu publié sur le service, et vous autorisez Microsoft à effectuer ces opérations». Dans ses CGU, Google explique quant à lui qu’il se garde le droit d’utiliser ces données pour améliorer ses services… «On ne peut pas dire que les offres de cloud soient faciles à comprendre», reconnaît Gwendal Le Grand.

Malgré tout, Eric Filiol affirme qu’il ne faut pas non plus diaboliser le cloud. C’est vrai que ce type de service est très pratique au quotidien.  Si un disque dur rend l’âme sans prévenir, le cloud permet d’avoir une sauvegarde. «Il faut juste considérer que ces documents peuvent être lus» avant de stocker quoi que ce soit, conclut l’expert en sécurité informatique.
Anaëlle Grondin

Le cloud computing expliqué aux nuls
Cette année, les "Microsoft Tech Days", grande manifestation organisée par le groupe pour les professionnels du numérique, étaient placés sous le signe du cloud computing, aussi appelé "informatique dans le nuage". Un phénomène qui prend de plus en plus d'ampleur dans les entreprises, et que le grand public commence à connaître sous la forme de services de stockage à distance, ou encore de musique en streaming. Le cloud est sur toutes les lèvres, y compris celles d'Eric Besson qui a lancé en janvier un appel à projets autour du cloud dans le cadre du grand emprunt.

Bernard Ourghanlian est directeur technique et sécurité de Microsoft France, qui possède aujourd'hui 31 000 clients à ses services cloud Windows Azure dans le monde. Pour Lexpansion.com, il explique ce qu'est le cloud, et à quoi ça sert.
Comment définissez-vous le cloud computing ?

Le grand public utilise depuis longtemps le cloud computing sans le savoir. Quand on utilise son webmail, Hotmail, Gmail ou autre, on fait du cloud. Le cloud computing, c'est accéder à des ressources informatiques qui sont quelque part, à travers internet. On peut y avoir accès gratuitement, comme c'est le cas avec le webmail. Ou sur abonnement, avec un niveau de service garanti. Les entreprises achètent ainsi des capacités, et sont facturées un peu comme le sont l'eau, le gaz ou l'électricité: on paye à la consommation. Comme le courant électrique, on peut consommer autant qu'on veut. Virtuellement, la puissance est infinie.
Peut-on dire que le cloud computing est une révolution pour l'informatique ?

C'est une révolution économique, mais pas technologique. Car il repose sur des technologies établies depuis longtemps.
Quel est l'intérêt du cloud computing ?

Il est surtout économique. Si on est une très petite entreprise, cela permet de lancer un service sans aucun investissement capitalistique en hardware. Ainsi, pratiquement plus aucune start-up du logiciel n'investit dans du matériel lourd, aujourd'hui. Le deuxième avantage, c'est de pouvoir bénéficier d'économies d'échelle qui ont une répercussion économique. Par exemple, les ressources informatiques qui ne sont pas utilisées par les entreprises françaises la nuit, le sont par des entreprises à l'autre bout de la planète. C'est un peu comme une usine qui tournerait 24 heures sur 24, et dont les ressources sont partagées. Cela permet par exemple à des entreprises comme les e-commerçants, qui ont un pic de charge à Noël et beaucoup moins de charge le reste de l'année, d'avoir les ressources nécessaires pendant ce pic sans investir dans des capacités qu'elles n'utiliseraient pas le reste de l'année. C'est comme ça qu'Amazon s'est lancé dans les services de cloud computing au départ. Ils avaient investi dans des capacités énormes et ont cherché à les amortir.
Que nous permet de faire le cloud, que l'on ne pouvait pas faire avant ?

Par exemple, préserver le contexte quand on change de terminal. Exemple : vous commencez un jeu du Xbox Live sur votre console Xbox, et vous continuez à jouer sur votre téléphone mobile.
Où se trouvent ces ressources informatiques, qui ne sont plus en local ? Certaines sont-elles en France ?

Elles ont beau être "dans le nuage", elles sont bien sur Terre, dans des datacenters géants qui font une bonne dizaine de fois la taille d'un terrain de football, et qui sont remplis de machines. Chez Microsoft, deux datacenters sont actuellement en cours de construction. Nous en possédons un en Europe, à Dublin, qui a coûté 500 millions de dollars, et nous avons un backup à Amsterdam, que nous louons à des hébergeurs. Plus un datacenter est loin de l'utilisateur, plus le temps de réponse est long. On sait augmenter la bande passante mais pas diminuer le temps de latence des requêtes. Pour le grand public, en gros seules des messageries sont hébergées en France.
ADVERTISEMENT
Le problème, c'est que les données sont détenues par un petit nombre d'entreprises, et que l'accès repose sur le maintien d'une connexion internet.

Les grands acteurs du cloud sont en effet peu nombreux. Google, Amazon, Microsoft, Salesforce. Pour plus de sécurité, pour les entreprises, il existe des clouds privés, qui ne sont pas partagés. L'objectif est d'avoir les mêmes bénéfices, mais de garder le contrôle de son environnement. Ce type de services est proposé par de nombreux acteurs, comme les hébergeurs, IBM...
En ce qui concerne le grand public, est-ce possible de savoir où se trouvent les données stockées ?

L'internaute lambda ne peut pas savoir. Ces données peuvent aussi bouger. Aucun engagement n'est pris à ce niveau là vis-à-vis du grand public.
Le grand public peut-il lui aussi cadenasser ses données dans un espace privé, un coffre-fort numérique ?

Ce genre de services existe. Pour être sûr que personne ne puisse y accéder, y compris le fournisseur, il faut chiffrer les données. Ainsi, seul l'utilisateur a les clés de son coffre. Tant que l'on veut stocker des données privées, cela fonctionne. Mais les copies de clés à grande échelle, aujourd'hui on ne sait pas faire. Si on veut partager et collaborer, autoriser un grand nombre de personnes à effectuer des recherches dans un champ de données chiffrées (en entreprise par exemple), ce n'est pas possible car le temps de réponse devient beaucoup tro plong. C'est le graal de la recherche sur le cloud aujourd'hui.
Le cloud permet d'externaliser la puissance informatique, la capacité de stockage. Peut-on imaginer, à l'avenir, n'avoir plus besoin d'acheter des ordinateurs toujours plus puissants et des disques durs pour travailler et stocker ses données ?

Pas vraiment. Car il faut toujours un terminal pour présenter les données, avec un niveau d'ergonomie de plus en plus élaboré: réalité augmentée, 3D, etc. Beaucoup de traitements sont réalisés dans le cloud, mais la sophistication grandissante des interfaces exige de la puissance en local. De plus, l'informatique contextuelle, à l'avenir, exigera que l'ordinateur sache dans quelle situation se trouve l'utilisateur. On aura besoin d'interagir avec des systèmes de plus en plus intelligents. Le cloud viendra augmenter les capacités de son poste de travail.

En savoir plus sur http://lexpansion.lexpress.fr/high-tech/le-cloud-computing-explique-aux-nuls_248693.html#AZ4CbdVmwz1oOBg2.99

Retourner au contenu | Retourner au menu