Dropbox et Google Drive sont des services très différents qui plaisent à différents utilisateurs. Bien que Drive soit connecté à l’ensemble de l’écosystème Google Apps (maintenant connu sous le nom de G Suite), Dropbox est une alternative simple et légère pour le stockage de fichiers. Bien que les deux soient utiles, les utilisateurs doivent regarder au-delà des fonctionnalités et s’assurer que le service qu’ils choisissent peut protéger adéquatement leurs données. Voici comment s’empilent le cryptage Dropbox et le cryptage Google Drive.

Cryptage Dropbox et Google Drive

À leur crédit, Dropbox et Google Drive protègent les fichiers utilisateur avec un cryptage. Les deux permettent également aux utilisateurs d’activer la vérification en deux étapes, ce qui nécessite un code supplémentaire envoyé par SMS au téléphone de l’utilisateur pour accéder au compte, ce qui complique l’accès des pirates aux données d’un utilisateur. Enfin, les deux services utilisent un secret forward parfait, qui empêche les pirates d’utiliser d’anciennes clés de session pour pirater des fichiers stockés dans le cloud.

Le cryptage Dropbox utilise des clés AES 256 bits pour protéger les fichiers au repos et crypte les données en mouvement avec un cryptage AES SSL/TLS 128 bits ou supérieur. Le cryptage Google Drive est similaire; les fichiers en mouvement sont protégés à l’aide d’un cryptage SSL / TLS 256 bits, tandis que ceux au repos sont cryptés avec des clés AES 128 bits.

Vulnérabilités de sécurité de Dropbox et de Google

Le cryptage Google Drive et le cryptage Dropbox ont tous deux fait face à des exploits et à des menaces de sécurité dans le passé. Le cryptage SSL/TLS dépend de serveurs individuels pour protéger les données lorsqu’elles circulent entre l’ordinateur de l’utilisateur et le cloud. Par conséquent, il peut être cassé ou affaibli par un serveur qui a été compromis par un pirate informatique, ou ne prend pas en charge la dernière version du cryptage, permettant potentiellement à un mauvais acteur de voler vos données ou vos informations de connexion. De plus, Google n’utilise que des clés AES 128 bits pour les données stockées – bonnes, mais pas aussi solides qu’elles devraient l’être.

Un exploit de sécurité récemment découvert appelé l’attaque man-in-the-cloud peut permettre aux pirates de contourner à la fois le cryptage Google Drive et le cryptage Dropbox. Un pirate qualifié pourrait voler le jeton de synchronisation de l’utilisateur — un code qui identifie l’utilisateur au service cloud. Le pirate informatique pourrait alors accéder directement au compte de l’utilisateur sans même connaître ses identifiants de connexion. Ils pourraient alors voler, supprimer ou vandaliser quoi que ce soit sur le compte.

Une vulnérabilité Dropbox a compromis les déclarations de revenus, les demandes de prêt hypothécaire et d’autres données sensibles. Dropbox permet aux utilisateurs de créer des liens partageables qui ne sont censés être accessibles qu’aux personnes ayant l’URL. Le lien, cependant, partagerait l’URL lorsque les utilisateurs cliquaient loin du document partagé dans un navigateur, ou mettaient le lien dans une boîte de recherche et cliquaient sur une annonce. Bien que Dropbox ait finalement corrigé une partie de la vulnérabilité — découverte en novembre 2013 — les utilisateurs peuvent toujours donner par inadvertance aux annonceurs l’accès à leurs données, et aucun correctif à venir n’a été annoncé.

Aller plus loin pour protéger la sécurité du Cloud

Les problèmes de sécurité les plus tenaces sont causés par le comportement des utilisateurs. Le cryptage Dropbox et Google Drive décrypte automatiquement vos fichiers lorsque vous vous connectez à votre compte, donc si un pirate est capable de voler ou de deviner votre mot de passe, le cryptage ne vous protégera pas.

Vous pouvez atténuer ce risque avec des mots de passe forts — des phrases d’au moins 12 caractères et contenant des lettres majuscules et minuscules, des chiffres et des symboles. Vous devez également activer perfect forward secrecy et changer votre mot de passe au moins une fois tous les 90 jours.

Vous devez également prendre des précautions, au cas où les utilisateurs accéderaient à vos fichiers. Même un pirate qui ne pourrait pas contourner votre cryptage pourrait toujours être en mesure de chiffrer à nouveau vos fichiers stockés, en les retenant contre rançon jusqu’à ce que vous payiez des frais. Protégez-vous contre cette menace en conservant des copies de sauvegarde de vos fichiers sur un autre service au cas où vos originaux seraient vandalisés. De plus, vous devez examiner régulièrement vos fichiers à la recherche de modifications non autorisées qui pourraient indiquer un pirate informatique.

Ne faites pas confiance à Un Seul Service

Les services cloud comme Dropbox et Google Drive prennent de nombreuses mesures pour sécuriser le contenu utilisateur; cependant, les pirates travaillent également dur pour trouver et exploiter de nouvelles vulnérabilités. En ajoutant une couche supplémentaire de cryptage côté client tiers, vous pouvez vous protéger contre les  » quoi-si », en vous assurant qu’une vulnérabilité de fournisseur de stockage en nuage n’exposera pas vos fichiers aux méchants.