L'utilisation de stockage dans le cloud est de plus en plus fréquente, voire inévitable. Cela permet aux collaborateurs de travailler sur un même espace de stockage centralisé, que ce soit avec des collègues ou des clients, facilement et sans friction.

Cependant, ces services sont souvent utilisés pour partager, sauvegarder et/ou stocker des données métier confidentielles, telles que des :

  • fichiers contenant de la propriété intellectuelle ;
  • documents de réponses commerciales ;
  • fiches RH.

Généralement, dans les versions de base de ces services, très peu de mesures sont mises en œuvre pour assurer la confidentialité de ces données. Pour y répondre, les hébergeurs proposent souvent des options complémentaires, fréquemment facturées en sus, incluant du chiffrement.

Ce qui est proposé par les hébergeurs

On peut par exemple nommer OneDrive Entreprise, dont la documentation référence les deux méthodes de sécurisation suivantes :

  • le chiffrement du transport (via HTTPS/TLS) ;
  • le chiffrement des données (via AES).

Des propositions similaires sont faites pour DropBox (documentation) et Google Drive (documentation).

Le chiffrement du transport est un faux indicateur de confiance. Aujourd'hui, un service doit proposer (voire imposer) l'accès à ses services via HTTPS. C'est d'ailleurs pour cela que les navigateurs affichent désormais une alerte pour tout service n'ayant pas cette protection.

Le chiffrement des données via AES est cependant un indicateur plus compliqué à interpréter. Il s'agit généralement d'un chiffrement uniquement côté serveur, donnant un faux sentiment de confiance pouvant tromper l'utilisateur. C'est ce que nous allons tenter d'expliquer.

Le chiffrement côté serveur

Quand un hébergeur annonce un chiffrement de fichier, il s'agit, dans la quasi-totalité des cas, uniquement d'un chiffrement côté serveur.

En effet, lors de l'utilisation d'un service cloud, les fichiers sont d'abord transférés dans leur version en clair sur le serveur de l'hébergeur. Ils sont ensuite protégés avec du chiffrement par le serveur. L'hébergeur a donc accès à une version en clair des fichiers. Ce mécanisme est illustré dans le schéma suivant :

Cela protège au mieux d'un vol d'un disque dur dans le data-center. Est-ce vraiment utile ?

Au contraire, cela ne protège pas des risques pour lequel le chiffrement a un réel intérêt tels que :

  • un vol de mot de passe d'un utilisateur, puisque le mot de passe suffit à récupérer les fichiers ;
  • un piratage de la boite email d'un utilisateur, puisqu'un accès à la boîte email suffit à renouveler la plupart des mots de passe ;
  • une fuite de données des serveurs de l'hébergeur qui détiennent à la fois les clés et les documents chiffrés, permettant à un attaquant d’accéder à la donnée en clair très simplement.

Pour résumer les choses en peu de mots, le chiffrement côté serveur de l'hébergeur ne suffit pas, il faut une autre solution.

La proposition de Seald

Seald n'est pas, et ne souhaite pas être, un hébergeur cloud. Au contraire, Seald peut s'appuyer sur n'importe quel stockage, que ce soit en cloud des emails ou même des clés USB.

En utilisant Seald, conjointement à un hébergeur cloud, les fichiers sont sécurisés de façon asymétrique. Ainsi, uniquement les personnes détenant une clé privée autorisée à lire un document peuvent le déchiffrer.

De cette façon, ni Seald, ni l'hébergeur cloud n'ont la possibilité de déchiffrer les fichiers protégés, même en cas de compromission de serveurs.

Enfin, la maîtrise et la souveraineté sur vos données sont maintenues en contrôlant les droits d’accès à chaque fichier de manière centralisée et en journalisant leurs accès. À la différence de beaucoup de solutions de chiffrement, il est possible de révoquer les droits d’accès à un fichier même après que celui-ci ait été envoyé.

Vous souhaitez en savoir plus sur Seald ? Contactez-nous !

Better Seald than sorry.

Fin-article_Plan-de-travail-1-2