Blog de dada

DevOps, bidouilleur et routard plein de logiciels libres

Attention, ce billet se traine depuis plus de 3 mois. Les informations qu'il contient ne sont peut-être plus à jour.


Cloud et sécurité

Rédigé par dada / / 4 commentaires


Le scandale du moment, c'est l'affaire de la fuite de photos de stars qui, semblerait-il, se seraient échappées des serveurs ultra-sécurisés de Dropbox, iCloud et j'en passe.

Par de là le fait que les gens ne font pas d'effort quant au choix des mots de passe, je me demande ce qu'il se passe dans la tête des développeurs de ces solutions qui, on dirait, ne chiffrent pas les fichiers qui sont stockés sur leurs serveurs.

Utilisateur d'ownCloud depuis des années, j'ai, de temps en temps, laissé mes fichiers en accès libre. Pas longtemps, rassurez-vous. C'est une erreur et les erreurs surviennent de temps en temps. Une reconfiguration du serveur ou un changement de machine maladroit et un Apache qui ne gère plus les .htaccess, ça arrive vite.

Avant que le logiciel libre de cloud ne propose le chiffrement des fichiers, c'était un problème. Maintenant qu'il est possible de chiffrer ses données en deux cliques, la portée d'une fuite est franchement moins grave qu'avant.



J'ai testé le chiffrement il y a quelque temps et je vous assure que même si le fichier est téléchargé, il ne ressemble à rien. La fuite est là, mais elle n'est pas exploitable.

ownCloud n'est pas exempt de failles, c'est impossible, mais le maximum est fait pour que le principal soit préservé : la sécurité des données.

Je me demande ce que font les grands fournisseurs d'informatique dans les nuages. Chiffrer les données, ce n'est pas bien difficile.

Ah, mais attendez une seconde : certains ne se serviraient pas de vos données pour de la publicité ciblée...? Nan, je dois tout mélanger.

Bref, si vous le pouvez, installez votre instance ownCloud et flottez dans les nuages sereinement.

Note : si les utilisateurs des services de cloud privés se sont fait "pirater" leurs comptes et que l'attaquant s'est tout simplement servi des mots de passe et nom d'utilisateur pour récupérer toutes ces données, ce billet perd un petit peu de son sens et j'en referai un pour parler des distributions GNU/Linux qui font mieux leurs boulots que MacOS et Windows ! ;-)

4 commentaires

#1  - seb a dit :

La question peut paraitre conne (et je pense avoir la réponse dans la note) mais je préfère la poser quand même.

Imaginons que je synchronise un répertoire de mon pc avec un owncloud et que j'active le chiffrement. Tous les fichiers que j'envoie sur Owncloud sont chiffrés à leur arrivé sur le serveur, ça j'ai bien compris. Mais est ce que le fichier chiffré est synchronisé avec mon pc? Et donc je me retrouve avec un fichier chiffré sur mon PC.
Est ce que je peut récupérer ce fichier en clair chez un pote ou depuis mon téléphone ou uniquement depuis mon PC?

Répondre
#2  - dada a dit :

Je ne saurais pas te donner les détails techniques mais les données que tu récupères via le client de synchronisation ou sur ton téléphone sont parfaitement lisibles.

Répondre
#3  - Thomas a dit :

Salut,

Merci pour votre article.

Je dispose aussi de OwnCloud, mais je n'ai pas trouvé où l'on pouvait activer le chiffrement des données.

En essayant de récupérer les fichiers directement depuis mon serveur via SFTP, j'ai pu constater qu'elles ne l'étaient pas, d'où ma question..

Pouvez-vous m'aider ?

Merci.

Répondre
#4  - Thomas a dit :

Salut,

J'ai réglé le problème :

http://doc.owncloud.org/server/7.0/admin_manual/configuration/configuration_encryption.html

Je n'avais pas remarqué la page des applications.

Répondre

Fil RSS des commentaires de cet article

Écrire un commentaire

Quelle est la troisième lettre du mot xpbzsb ?