Avec le piratage des photos nues de stars féminines, le problème de la sécurité des services cloud se rappelle à notre bon souvenir. Externaliser le stockage de ses données auprès d’un service en ligne peut être très pratique, mais cela présente aussi des risques, et même de plus en plus. Lors des dernières conférences de sécurité BlackHat et Defcon à Las Vegas, les experts en sécurité sont d’ailleurs unanimes à ce sujet : à force d’interconnecter de plus en plus de services en ligne et d’objets, on augmente la surface d’attaque, et donc le risque de se faire pirater. « Un bon hacker suffisamment motivé peut pirater presque n’importe quoi aujourd’hui », estime même Dan Geer, un expert américain reconnu en sécurité informatique.
Mais alors, le combat est-il perdu d’avance ? Par forcément, car il existe un certain nombre de règles de bons sens qui permettent quand même de limiter le risque.
1) Evitez le cloud pour stocker des données confidentielles. Stocker ses photos sur iCloud ou Google Drive, c’est très pratique, notamment pour les synchroniser et les partager avec vos amis. Mais, de grâce, n’y mettez pas les clichés de vos derniers ébats sexuels. Vous pourriez le regretter.
2) Utilisez un bon mot de passe. Certains experts pensent que le service d’Apple a été victime d’un attaque par force brute, c’est-à-dire le test une par une de toutes les combinaisons possibles (voir ci-dessous). Avec un mot de passe tel que « 0123456 », votre compte explose en quelques secondes. Choisissez, de préférence, une suite aléatoire de chiffres et de lettres. Evidemment, il est impossible de s’en souvenir, c’est pourquoi il faut utiliser un gestionnaire de mots de passe tel que 1pass ou LastPass.
3) Chiffrez vos données. Si vous avez des données confidentielles et que vous voulez quand même utiliser le cloud, il y a une solution : le chiffrement préalable. Les données sont d’abord cryptées par un logiciel tel que TrueCrypt, puis envoyées vers le service de stockage en ligne. Même en cas de vol, les données sont (théoriquement) inutilisables. Certains services en ligne, comme SpiderOak, intègrent d’emblée cette procédure de chiffrement, la rendant plus simple d’usage (technologie Zero-Knowledge). Le revers de la médaille est que le chiffrement n’autorise pas certaines fonctionnalités très pratiques comme le partage ou la modification en ligne. Il faut faire un choix…
4) Analysez la sécurité de votre fournisseur. Tous les fournisseurs cloud ne sont pas au même niveau technologique. Certes, tous utilisent au minimum le chiffrement HTTPS, mais qu’en est-il du chiffrement des communications entre les datacenters (comme l’ont implémenté Google et Yahoo désormais) ? Le fournisseur propose-t-il l’authentification à deux étapes (comme Twitter, Google + ou Apple) ? Utilise-t-il la technologie Perfect Forward Secrecy pour blinder encore plus ses communications chiffrées (comme Microsoft ou Twitter) ? Cette analyse n’est pas aisée à faire, mais elle s’impose dès lors que les données sont sensibles.
5) Ne partagez pas tout avec n’importe qui. Le niveau de sécurité de vos données est égal au plus bas niveau de sécurité mis en place par vos amis avec qui vous les partagez. C’est le principe du maillon faible. Donc, sélectionnez bien les amis avec qui vous partagez vos photos confidentielles. Evitez, par exemple, d’inclure votre ex-petit ami(e) dans la liste…
Lire aussi :
Stars nues sur iCloud : Apple et le FBI enquêtent sur un piratage, le 02/09/2014
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
