iCloud : Apple pourrait accéder aux données de ses utilisateurs
Mais son service est loin d'être le seul dans ce cas, le Cloud en question ?
Le 2012-04-06 16:09:35, par Gordon Fowler, Expert éminent sénior
Le débat sur le Cloud et les espaces de stockages hébergés risque d’être relancé. Depuis hier, un site américain renommé affirme en effet qu’Apple aurait accès aux données que ses utilisateurs décident de stocker ou de synchroniser (musique, contacts, photos, favoris, etc.) via iCloud.
Soulignons tout de suite qu’Apple est loin d’être le seul dans cette situation puisque Ars Technica indique que des services comme Box.net ou Dropbox (entre autres) seraient également concernés.
« Vos informations ne sont pas à l’abris des yeux indiscrets », accuse le web-magazine. « Apple peut à tout moment consulter les données de iCloud, et dans certaines circonstances pourrait les partager avec les autorités ».
Le problème tient au fait que le chiffrement des données hébergées n’est pas optimal. Seuls leurs transfert seraient totalement sécurisés (en SSL). Un point de vue avancé par le chercheur Jonathan Zdziarski et la société spécialisée Securosis.
Pour eux, une fois qu’elles arrivent sur les serveurs, les clefs de chiffrements des données sont entre les mains d’Apple (ou de Dropbox ou de Box.net). Ce qui pose un problème important sur le contrôle de ses données et un risque qu’une personne interne au prestataire de service Cloud dérobe ces clefs.
« Dans un système de chiffrement symétrique, il y a toujours une porte dérobée », regrette pour sa part Echoworx, une société qui vend des solutions de sécurisation pour les produits Cloud. Même si Apple assure avori mis en place des process pour qu’un vol de ces clefs de chiffrement soit quasi impossible, Echoworx pense que la seule solution raisonnable serait que les plateformes passent toutes à des clefs asymétriques.
Aujourd’hui, « si vous pouvez le voir dans votre navigateur, ils peuvent le voir sur leurs serveurs » acquiesce Securosis. Avec des clefs asymétriques (une clef publique et une clef privée), seul l’utilisateur (qui est le seul à posséder cette clef privée) aurait accès à ses données.
Ces experts ne jettent pas pour autant la pierre à Apple. Un tel système de chiffrement asymétrique n’est pas simple à mettre en place, notamment dans le domaine très sensible (et très friand de synchronisation) qu’est le secteur de la mobilité. Et surtout il n’est pas simple à utiliser par « Madame Michu ».
Résultat, sans cette sécurit », iCloud ne devrait pas être utilisé dans un cadre professionnel. Une recommandation qu’Apple lui-même ferait à ses clients corporate si l’on en croit Ars Technica.
Les entreprises pourront se rabattre sur Exchange pour synchroniser les mails, les calendriers et les contacts. Et les personnes qui se sentent concernées par ces problématiques n’utiliseront iCloud que pour les données qu’elles jugent non sensibles.
En attendant que la démocratisation du chiffrement asymétrique ne règle toutes ces question. Une démocratisation qui malheureusement ne serait pas vraiment pour demain.
Source : Ars Technica
Et vous ?
Soulignons tout de suite qu’Apple est loin d’être le seul dans cette situation puisque Ars Technica indique que des services comme Box.net ou Dropbox (entre autres) seraient également concernés.
« Vos informations ne sont pas à l’abris des yeux indiscrets », accuse le web-magazine. « Apple peut à tout moment consulter les données de iCloud, et dans certaines circonstances pourrait les partager avec les autorités ».
Le problème tient au fait que le chiffrement des données hébergées n’est pas optimal. Seuls leurs transfert seraient totalement sécurisés (en SSL). Un point de vue avancé par le chercheur Jonathan Zdziarski et la société spécialisée Securosis.
Pour eux, une fois qu’elles arrivent sur les serveurs, les clefs de chiffrements des données sont entre les mains d’Apple (ou de Dropbox ou de Box.net). Ce qui pose un problème important sur le contrôle de ses données et un risque qu’une personne interne au prestataire de service Cloud dérobe ces clefs.
« Dans un système de chiffrement symétrique, il y a toujours une porte dérobée », regrette pour sa part Echoworx, une société qui vend des solutions de sécurisation pour les produits Cloud. Même si Apple assure avori mis en place des process pour qu’un vol de ces clefs de chiffrement soit quasi impossible, Echoworx pense que la seule solution raisonnable serait que les plateformes passent toutes à des clefs asymétriques.
Aujourd’hui, « si vous pouvez le voir dans votre navigateur, ils peuvent le voir sur leurs serveurs » acquiesce Securosis. Avec des clefs asymétriques (une clef publique et une clef privée), seul l’utilisateur (qui est le seul à posséder cette clef privée) aurait accès à ses données.
Ces experts ne jettent pas pour autant la pierre à Apple. Un tel système de chiffrement asymétrique n’est pas simple à mettre en place, notamment dans le domaine très sensible (et très friand de synchronisation) qu’est le secteur de la mobilité. Et surtout il n’est pas simple à utiliser par « Madame Michu ».
Résultat, sans cette sécurit », iCloud ne devrait pas être utilisé dans un cadre professionnel. Une recommandation qu’Apple lui-même ferait à ses clients corporate si l’on en croit Ars Technica.
Les entreprises pourront se rabattre sur Exchange pour synchroniser les mails, les calendriers et les contacts. Et les personnes qui se sentent concernées par ces problématiques n’utiliseront iCloud que pour les données qu’elles jugent non sensibles.
En attendant que la démocratisation du chiffrement asymétrique ne règle toutes ces question. Une démocratisation qui malheureusement ne serait pas vraiment pour demain.
Source : Ars Technica
Et vous ?
-
pcdwarfMembre éprouvéMais bon sang où est la surprise dans cette affaire.
Il ne se passe pas une semaine sans que des foules de naïfs découvrent éffarés que les données qu'ils stockent chez des tiers peuvent être lues et analysées par ces derniers...
Mais c'est une évidence !
Suis-je le seul ici à ne pas vivre dans un monde de bisounours ?
En fait, techniquement parlant, ce qui serait étonnant c'est qu'ils n'aient pas accès aux données tout simplement parce que ce serait beaucoup plus compliqué pour eux.
Et si ils peuvent le faire et si ils y ont un intérêt, ils le feront...le 06/04/2012 à 16:55 -
antoinev2Membre avertiMais le Patriot Act oblige toute entreprise de droit américain (ainsi que toutes leurs filiales dans le monde) à donner un accès aux services de renseignement américain à toutes les données qu'elle stocke.
Cela concerne aussi bien les données stockées sur le sol américain que celles stockées n'importe où dans le monde.
Et cela concerne aussi les sociétés qui ne sont pas de droit américain, mais qui stockent des données sur le sol américain.
Les seules données épargnées sont celles stockées en-dehors du sol américain par les sociétés qui ne sont pas de droit américain.le 06/04/2012 à 16:33 -
HesiodeMembre régulierouf ! je pensais aussi être le seul !
C'est d'ailleurs pour cette raison que je n'utilise aucun cloud !
(hormis les mails qui restent sur le serveur jusqu'à ce que je les lise..le 06/04/2012 à 17:16 -
JBrekMembre du ClubOui effectivement, je n'utiliserai pas un service cloud pour des données ultra sensibles. Cependant, j'utilise Amazon S3 pour effectuer des backups de données importantes mais avant de les envoyer sur S3 je les crypte en AES 256-bit.
Ne jamais envoyer de données en clair sur des serveurs distants qu'on ne maîtrise pas. C'est la règle.le 08/04/2012 à 10:51 -
LeSmurfMembre expérimenté... et même un peu plus longtemps
En 2005 j'ai rencontré un français qui voyageait en Asie du sud-est. Sa situation familiale était "instable" et il voyageait depuis plusieurs mois pour "prendre de l'air". Sauf qu'à un moment, il a arrêté de communiquer avec sa famille qui a donc déclaré sa "disparition" aux autorités qui ont alors enquêté et ouvert sa boite émail. ils ont accédé à tous ses émails... y compris ceux qui étaient effacés depuis un bon moment. Effacés, y compris de la corbeille.
Moralité, même effacés les émails restent accessiblesle 07/04/2012 à 10:33 -
rawsrcExpert éminent séniorCe qu'on a communément appelé "le droit à l'oubli" n'existe absolument pas dans le monde informatique. Une fois connecté, publié/échangé, il faut se dire que c'est perdu. Vous ne pourrez plus jamais réellement supprimer ce qui a été publié/échangé. C'est gravé dans le marbre. Enfin..., ici dans l'internet.
Il faut le répéter sans cesse et bien faire attention à ne pas abuser de ses 15 minutes de célébrité éphémère...
N'oublions pas que : "La méfiance est mère de sûreté".
Et c'est d'autant plus vrai avec les TIC.le 07/04/2012 à 16:22 -
ThornaMembre éprouvéAh, re-voilà un débat sur la confidentialité du cloud (bizarre, on l'a déjà fait ici en novembre dernier...), ou la sécurité du cloud (là en août dernier, bientôt un an...).
Je pense que rien n'a changé depuis, et que confier ses données à qui que ce soit, c'est obligatoirement admettre une perte de sécurité, tant en ce qui concerne l'intégrité des données que leur discrétion. Et je ne vois pas non plus pourquoi ça changerait dans les années à venir, à moins que chacun se dote des outils nécessaires et chiffre toutes ses données avant de les envoyer dans au moins 2 services de cloud différents.
Edit : les avis ci-dessus finiraient-ils par laisser transpirer une certaine prise de conscience de la communauté ?le 06/04/2012 à 17:42 -
pcdwarfMembre éprouvéExcellente formule que je reprends à mon compte.confier ses données à qui que ce soit, c'est obligatoirement admettre une perte de sécurité, tant en ce qui concerne l'intégrité des données que leur discrétion.
Ensuite, je conçois tout a fait que l'on accepte en pleine conscience d'utiliser des services cloud parce qu'on pense que le bénéfice est supérieur au risque.
Cependant, j'ai l'impression que la majorité des utilisateurs,ont un peu perdu le sens des réalités, font une confiance aveugle aux fournisseurs et surtout leur prêtent des valeurs morales qu'ils n'ont pas et auxquelles ils ne se plieront jamais sans une contrainte forte.
Je crois aussi que le débat sur la légalité des accès est un faux débat. Par définition, une loi n'est une barrière que pour ceux qui acceptent de la respecter. En matière de sécurité, ce n'est pas le droit qui importe mais la possibilité matérielle.le 07/04/2012 à 10:25 -
elmcherquiMembre avertiA Noter que microsoft a une offre cloud hybride , donc vous gardez vos données sensibles dans votre entreprise et données public sur azure
. Sinon je suis daccord sur le fait qu'il faut toujours crypter avant d'envoyer ses données n'importe ou ( meme dans son propre disque dur externe ou sa clef usb ) le 09/04/2012 à 12:07 -
sylio4Membre du ClubLe Cloud ,depuis le début ou on a commencé à en entendre parlé c'était SUPER ,c'était GÉNIAL, et c'est vrai que quand on y réfléchi c'est bien pratique..
mais Ca n'est pas encore une technologie "qui a fait ses preuves" je pense .. Des rumeurs sur la sortie éventuelle d'un cloud de Google circulent en ce moment (il me semble même que des suppositions ont été faites quant à la date de sortie de ce dernier) mais ... je pense que le nuage a encore a nous prouver qu'il peut être un endroit SÛR .... Rappelons tout de même qu'un ordinateur sur lequel quelqu'un va stocker des données sur son DD et qui n'est pas connecté à internet ,ne risque pratiquement rien ... sauf la destruction par des aliens venus d'ailleurs...le cloud est un service de stockage ONLINE.. pas sûr que les serveurs qui abritent nos données soient réellement hors de porté des hackers ... le 09/04/2012 à 12:28