mon slurp de la semaine
Drop box, ou le moyen de centraliser ses données en mode « cloud » sur Internet.
Un service indispensable pour tout utilisateur qui travaille avec l’ensemble des terminaux des utilisateurs modernes ou itinérants, à savoir à minima un smartphone, une tablette et un PC. Ayant un coté technophile et aimant les gadgets, je dois avouer pour ma part être adepte des trois.
Mes données personnelles transitent donc par Internet et sont facilement accessibles sur chacun de mes terminaux. Une souplesse dans ma gestion quotidienne qui est bien agréable. Adieu clés USB, envois par mail, minis NAS personnels et autres joyeusetés.
Néanmoins, si ce service ouvre de nombreuses possibilités d’un point de vue personnel, il mérite que l’on s’interroge dans le cadre d’une utilisation professionnelle. En effet, qu’un défaut de sécurité survienne et les conséquences seront bien différentes. Que mes photographies de famille ou la liste au père Noel des enfants soient consultées par une tierce personne ne prête guère à conséquence, qu’un plan produit, un business case ou des rapports d’audits tombent dans de mauvaises mains (et oui, la concurrence …) peut être nettement plus néfaste.
le coté violemment acidulé de mon slurp de la semaine
Et malheureusement, une rapide recherche sur Internet (google est mon ami : dropbox security) fait remonter de nombreuses pages. Il semblerait qu’un problème survenu lors de l’upgrade des serveurs ait laissé l’ensemble des comptes utilisateurs librement accessible (sans authentification) à toute personne souhaitant se connecter dessus (plus de détails ici). Guère rassurant. Néanmoins, certains pourront dire qu’un upgrade est toujours une source de problème et que nous sommes nombreux à en avoir subit les effets de bord dans les professions IT. Ce qui n’est pas faux.
Cependant, je trouve pour ma part que cela dénote peut être une approche légère dans la gestion du service avec une mauvaise gestion des tests de non régression, par exemple, ou des procédures de retours arrières laborieuses, deux réflexions qui sont difficilement acceptables dans un environnement professionnel.
En creusant un peu plus profondément, il apparait que la gestion du chiffrement des échanges se fait via SSL. Un standard qui est reconnu, mais qui a malheureusement eu une année 2011 difficile avec la publication de plusieurs vulnérabilités. Une présentation a d'ailleurs été consacré à ce sujet lors de la conférence RSA Europe d'Octobre.
Les données sont quant à elles chiffrées en AES256. Qui trouverait à redire à cela ? Sauf que malheureusement cela n’est pas aussi clair :
- Clés qui pourraient être moins fortes que ce qui est annoncé,
- Clés en possession de la société dropbox (obligation légale réelle ? Problème de confidentialité pour les utilisateurs…),
- Accès aux données des utilisateurs,
- Partage de fichiers entre compte utilisateurs pour optimiser la place,
- …
L’authentification des utilisateurs est elle-même apparemment discutable (je dis apparemment car je n’ai pas testé personnellement ce que je vais exposer) car conservée de façon fixe dans un fichier appelé « config.db » (et une procédure pratique plus inquiétante encore ici) et non lié au système sur lequel il a été généré. En d’autre mot, si quelqu’un réussit à le récupérer, il aura accès au compte pour lequel il a été paramétré. Et pour finir d’enfoncer le clou ou de noircir le tableau (choisissez l’expression que vous préférez), il semblerait que certains aient pu constater un manque de mécanismes permettant de lutter contre les attaques de type brute force sur le portail web. Une succession de détails, c’est vrai, mais qui annonce un orage potentiel à l’horizon.
D’autres éléments, tels que ceux exposés précédemment, peuvent être trouvés et viendront renforcer le sentiment, déjà connu il est vrai, que ce service n’est clairement pas adapté aux entreprises et se trouve en violation avec la plupart des politiques de sécurité, ne serait-ce que parce qu’il pourrait facilement permettre à des données sensibles de quitter l’entreprise.
l’un de mes slurps préférés pour finir
Que de nouvelles peu réjouissantes en cette période de Noël diront les esprits chagrins. Et pourtant, si on continue à creuser plus profondément, en parallèle des faiblesses évoquées, on pourra constater que les outils de détection de vulnérabilités commencent à adresser le service Dropbox de façon précise.
Il sera donc désormais possible pour les équipes sécurité de détecter les utilisateurs de ce service sur le réseau ou les machines de l’entreprise, et cela de façon automatisé. Ce type de détection permettra bien sur des actions correctives visant à juguler le phénomène, mais aussi une identification des utilisateurs ayant besoin des services de ce type, pour fournir les informations nécessaires pour exploiter les services de l’entreprise répondant à leurs besoins.
Un refresh sur la politique de sécurité de l’entreprise sera bien sûr le bienvenu pour rappeler quelques points structurants. Une démarche constructive de ce type permettra certainement d’accompagner les utilisateurs et d’envoyer des messages positifs : remontez-nous vos besoins et nous vous accompagnerons dans le respect des règles de l’entreprise. Après tout, la sécurité doit aujourd’hui être une composante permettant de développer l’activité.
Cédric