DropBox dans la tourmente

Via Wired :

Après les problèmes d’authentification, c’est la confidentialité des données stockées sur les serveurs de DropBox qui est remise en question.

Tout est parti d’un blog qui pointe du doigt le principe de dé-duplication.

En fait quand vous souhaitez envoyer un fichier vers DropBox, un hash de votre fichier est d’abord calculé et envoyé sur le serveur.
DropBox regarde dans sa base de données s’il a déjà un fichier avec ce hash. Si c’est le cas, DropBox n’effectue pas réellement l’upload mais créé juste un lien dans votre compte DropBox vers le fichier que quelqu’un possède déjà dans son compte à lui.
L’objectif pour DropBox est de minimiser l’espace disque utilisé sur ses serveurs et sa bande passante en évitant les duplicatas.

Mais il y a un truc qui cloche : DropBox est supposé stocker vos fichiers chiffrés. Or le même fichier en clair chiffré avec deux mots de passe différents doit donner deux fichiers différents.
Dans ce cas là, le système de lien et de prévention des duplicatas n’est pas sensé fonctionner.

Ça veut dire que soit un seul exemplaire d’un même fichier est gardé dans sa forme chiffrée mais le mot de passe du propriétaire original est conservé ou alors (et c’est le plus vraisemblable) que les fichiers ne sont en réalité pas chiffrés… ce qui revient finalement au même.

On en revient finalement au fait qu’en matière de sécurité on ne peut faire confiance qu’à soit même et qu’il convient de chiffrer ses données avant de les envoyer vers un service tiers.

4 réflexions au sujet de « DropBox dans la tourmente »

Les commentaires sont fermés.