Est-il sûr de conserver des informations semi-sensibles dans Dropbox?

23

Je ne ferais pas confiance à Dropbox avec mes coordonnées bancaires et autres (car il y a beaucoup de gens qui recherchent ce genre d'informations), mais est-il sûr de conserver des choses qui pourraient être précieuses pour un petit nombre de personnes? Par exemple, des informations commercialement sensibles, des projets d'articles scientifiques, des feuilles de réponses pour les évaluations universitaires, un tuteur, etc.

Y a-t-il quelque chose de pertinent dans les petits caractères concernant la confidentialité ou la propriété des informations stockées que j'ai pu manquer?

Tant que j'ai un mot de passe raisonnablement fort, est-il probable que quelqu'un qui connaît mon adresse e-mail puisse le pirater?

Kirt
la source
7
Très sur le sujet pour security.stackexchange.com
Rory Alsop
Beaucoup d'idées dans ce billet de blog de Miguel de Icaza: tirania.org/blog/archive/2011/Apr-19.html
Vincent Buck

Réponses:

29

Les conditions d'utilisation de Dropbox stipulent qu'elles ne revendiquent aucun droit de propriété et qu'elles semblent avoir une bonne sécurité. Afin de réinitialiser votre mot de passe, Dropbox vous envoie un e-mail avec un code de réinitialisation. Quelqu'un aurait besoin d'accéder à votre compte de messagerie, à votre mot de passe ou à un ordinateur sur lequel vous avez configuré Dropbox pour accéder à vos fichiers.

Si vous souhaitez plus de sécurité, vous pouvez utiliser TrueCrypt pour crypter les fichiers avant de les télécharger. Tant que vous ne placez pas de fichiers dans votre dossier public, vous devriez quand même être en sécurité.

PS Je recommande de vérifier avec les avocats de votre entreprise avant de télécharger des informations secrètes n'importe où , au cas où.

user775598
la source
4
+1 pour truecrypt, tandis que dropbox semble avoir bien fait la sécurité, si vos données sont sensibles, vous ne devriez pas les télécharger n'importe où non cryptées.
Phoshi
3
J'utilise dropbox avec un conteneur truecrypt de 500 Mo. C'est génial: si je mets quelque chose dedans, seuls les changements sont synchronisés (après démontage!) --- ce n'est pas difficile, mais aussi pas banal. Parfois, j'obtiens un fichier de conflit, lorsqu'un deuxième conteneur entier est téléchargé. Après avoir monté les deux et les avoir synchronisés, je supprime l'un d'eux. Par conséquent, pour un utilisateur plus que novice, un outil parfait.
2011 à 8h11
2
Je ne suis pas d'accord que Dropbox dispose d'une bonne sécurité - cela nécessiterait de conserver les clés de chiffrement sur le client ou, à tout le moins, de les chiffrer avec votre mot de passe. Bien sûr, cela empêcherait des fonctionnalités telles que l'accès à vos fichiers si vous oubliez votre mot de passe, mais cela signifie toujours que leur sécurité est tout au plus "décente". J'utiliserais définitivement un schéma de cryptage (j'utilise encfs car il crypte chaque fichier séparément, ce qui est moins sûr mais plus pratique, à mon avis) si je devais mettre des informations commercialement sensibles.
André Paramés
@ André Si vous avez besoin de ce type de sécurité, essayez le lien ou le lien . Ces services conservent vos clés de chiffrement côté client, bien que SpiderOak vous autorise à accéder au Web si vous lui donnez le mot de passe (ils promettent de ne le conserver dans la mémoire du serveur que pour la durée de la session).
user775598
1
Ils semblaient en effet avoir une bonne sécurité. Le bug du 19 juin a dissous cette illusion; considérez tout dans votre compte public.
Piskvor
13

Tout dépend du niveau de «sécurité» avec lequel vous êtes à l'aise. Voici quelques points à considérer:

  • Tous (ou une partie) des fichiers dans Dropbox sont également stockés localement. Vous pouvez choisir de synchroniser des parties de votre dropbox sur d'autres machines mais l'une de vos machines quelque part a l'état complet. Cela signifie que si votre machine est perdue, vous portez un toast, car ces informations ne sont ni cryptées ni sécurisées.
  • Dropbox est seulement aussi sécurisé que possible, et peut-être même pas autant. (À titre d'exemple: les employés de Dropbox peuvent voir votre contenu et le retourneront au gouvernement si cela leur est demandé. Ils disaient qu'ils ne pouvaient pas le faire, mais ils ont ensuite modifié leur déclaration.)
  • Truecrypt est idéal à utiliser avec Dropbox. Notez cependant que Dropbox ne sera pas en mesure de faire des mises à jour sur un seul fichier lorsqu'un fichier de votre volume TrueCrypt change - le volume entier devra être poussé à nouveau.
  • En fin de compte, tout dépend de votre niveau de confort et de votre confiance tant dans les réseaux sur lesquels vous vivez que dans le service et ses employés.

Comme dans l'autre réponse, consultez d'abord les avocats de votre entreprise. Même s'il était 100% sécurisé, ils pourraient ne pas aimer que les secrets soient stockés dans un autre endroit dont ils doivent s'inquiéter.

Kerri Shotts
la source
1
+1, en particulier pour indiquer que les employés de Dropbox peuvent voir votre contenu . Ceci est important, et il peut y avoir d'autres services de partage de fichiers qui chiffrent les fichiers avec votre mot de passe à la place, les rendant illisibles même pour eux-mêmes.
Macke
2
En tant qu'utilisateur Dropbox et TC, j'ai découvert qu'il n'est pas tout à fait correct de dire qu'un changement à l'intérieur du conteneur crypté va télécharger à nouveau le conteneur entier: il y aura une plus grande quantité de données transférées qu'avec un fichier non crypté, mais DB ne télécharge que le des parties modifiées du fichier - et avec des conteneurs TC suffisamment grands, des modifications relativement petites des fichiers sur le volume chiffré n'entraîneront pas la modification de l'ensemble du conteneur (une partie beaucoup plus importante du conteneur change que la partie occupée par ces fichiers). Bien que théoriquement un canal latéral, il aide à la taille du transfert.
Piskvor
(par exemple: 500 Mo de conteneur, changer 1 Mo de fichiers, démonter, Dropbox commence à réindexer le conteneur, puis transfère environ 50 Mo)
Piskvor
8

Vous pouvez utiliser BoxCryptor pour crypter automatiquement tous les fichiers téléchargés sur Dropbox.

Giorgi
la source
2
Notez les canaux latéraux: les noms de fichiers (et extensions) sont visibles; avec un mot de passe faible, cela peut ouvrir des voies de craquage plus rapide que la force brute (par exemple, les en-têtes de divers formats sont bien connus, d'où une attaque en clair en partie connue). Pour la plupart des gens, cela est tout à fait improbable, mais il est bon d'en être conscient. (mais il semble en effet soigné, certainement assez bon contre les snoopers occasionnels; notez également qu'il existe un support multiplateforme)
Piskvor
@Piskvor: - la dernière version crypte également les noms de fichiers.
Giorgi
Bon point - après un peu de recherche, je vois qu'ils le mentionnent sur leur blog; le site lui-même ne le dit pas, et les captures d'écran sont apparemment d'une ancienne version.
Piskvor
6

Je recommande KeePass (Classic Edition) pour stocker des choses comme les mots de passe ou les informations de carte de crédit. Il est léger et pris en charge sur presque toutes les plateformes (via les ports et builds KeePass contribués / non officiels). Le cryptage est Rijndael (AES) .

(Je ne suis pas affilié)

oleschri
la source
4

Je dois noter qu'en ce qui concerne les projets d'articles scientifiques, la plupart des institutions de recherche (universités / collèges inclus) ont des politiques de stockage des données très strictes, et le stockage de vos articles hors site est susceptible d'être une violation de cette politique. Avant de faire quoi que ce soit de ce genre, veuillez vérifier auprès d'un administrateur principal ou de quelqu'un qui sait ce que stipule cette politique, car vous pouvez potentiellement faire retirer votre financement si vous faites ce type d'erreur.

Lukasa
la source
2

Dropbox n'a pas une bonne sécurité, que ce soit en termes de confidentialité ou de disponibilité, donc si vos données sont sensibles ou doivent être disponibles à tout moment, vous devez faire quelque chose vous-même.

Pour plus de confidentialité, cryptez-le: truecrypt fonctionne bien avec dropbox

Pour la disponibilité, regardez plusieurs alternatives.

Rory Alsop
la source
2

Quoi que vous mettiez sur Dropbox, supposez qu'il sera exposé au public un jour. Parce que c'est ce qui s'est réellement passé pendant 4 heures hier. Appliquez votre propre choix de cryptage avant de stocker quoi que ce soit sur Dropbox.

Mike Rowave
la source
1
+1 S'applique à tout ce que vous mettez "dans le cloud", pas seulement à Dropbox.
Piskvor
1

Vous voudrez peut-être lire cet article d'InformationWeek . Il signale qu'il y a eu des accusations de problèmes de sécurité et de confidentialité potentiels avec DropBox en raison de leurs procédures de déduplication. DropBox compteurs que leurs employés ont limité, le cas échéant accès aux fichiers des utilisateurs, bien que quelques « nécessité », et qu'ils ont réglé des problèmes, mais pas de leur capacité à suivre et trace ce que les utilisateurs téléchargés quoi, et leurs rapports aux autorités. Le co-fondateur de PGP, le protocole de cryptage populaire, a supprimé son compte DropBox et les accuse de ne pas réellement crypter les fichiers (bien qu'il parle probablement de la façon dont DropBox utilise une clé globale au lieu de clés distinctes pour chaque utilisateur, ce qui bien sûr serait beaucoup plus sécurisé) .

Sans surprise, tout se résume aux fichiers que vous souhaitez stocker et à leur importance pour vous. En fin de compte, vous devez faire un appel de jugement personnel sur la base des informations disponibles.

Synetech
la source
merci, semble dans l'ensemble c'est plus sûr que la plupart de mes copies papier flottant autour du mauvais côté des listes de courses et autres.
Kirt
J'utilise le dos des reçus de caisse de la bibliothèque. :-)
Synetech
1

Tant que j'ai un mot de passe raisonnablement fort, est-il probable que quelqu'un qui connaît mon adresse e-mail puisse le pirater?

Il semble que votre mot de passe soit complètement hors de propos : Dropbox a, par le passé ( un incident si largement médiatisé s'est produit le 2011-06-19, réponse officielle de Dropbox ici ), accepté tout mot de passe comme valide, pour une période prolongée - c'est-à-dire , n'importe qui aurait pu se connecter en tant que vous, ne connaissant que votre nom d'utilisateur .

Ceci, en plus du récent changement de politique de sécurité (qui dit, essentiellement, "nous pouvons accéder à vos fichiers maintenant, malgré nos déclarations contraires précédentes"), signifie une chose:

NON, ce n'est pas plus sûr que de rendre ces fichiers accessibles au public : je ne trouve aucune sorte de garantie qu'un problème de même ampleur ne se reproduira pas demain, et l'architecture du système ne semble pas protéger vos fichiers par elle-même (et en s'appuyant sur une protection externe, comme if(password_ok = 1)vous obtenez, euh, un accès gratuit pour tout le monde).

En d'autres termes: il n'y a apparemment pas de cryptage utile en place (malgré les revendications précédentes), vous devez donc traiter les fichiers comme s'ils étaient à l'air libre. Donc, si vous prévoyez d'y stocker quelque chose de sensible, ne le stockez pas non crypté : utilisez un système de cryptage externe (par exemple un fichier conteneur Truecrypt - même le wiki de Dropbox suggère d'utiliser cela [sic!]), Et synchronisez le conteneur - il est crypté de votre côté, et donc illisible sans votre mot de passe de conteneur (que Dropbox n'a pas); ou utilisez un autre fournisseur de synchronisation cloud qui fournit un chiffrement réel côté client.

Piskvor
la source
-1

Non!

Dropbox est obligé de remettre vos données au gouvernement américain s'il décide d'invoquer le Patriot Act sur vous pour quelque raison que ce soit. Il y a aussi la loi de 1986 sur les communications stockées où les droits du quatrième amendement à la vie privée ne s'appliquent pas et ils peuvent assigner vos données pour une raison éventuellement raisonnable.

Même si vous cryptez vos données et les placez sur Dropbox, il est probable que ces gens sympathiques dans le gouvernement obscur pourront lire vos données s'ils le souhaitent vraiment. Quel que soit le dernier et le plus grand schéma de cryptage, dans la vraie vie, les mêmes facteurs qui ont ouvert les codes Enigma de la Seconde Guerre mondiale entrent en jeu - votre document scientifique / proposition commerciale / photos commencera avec les mêmes octets que la dernière fois que vous les avez téléchargés, peut-être pas «Heil Hitler! mais néanmoins suffisamment de contenu en double pour que les crackeurs de code professionnels puissent accéder à votre clé privée.

Du côté américain de l'étang, les inquiétudes concernant le Patriot Act peuvent sembler risibles. Cependant, au Royaume-Uni, il est tout à fait raisonnable et considéré comme la meilleure pratique de ne pas stocker d'informations personnelles sur des serveurs américains, même si ces informations sont totalement inoffensives, par exemple une base de données clients. Maintes et maintes fois, les agences d'espionnage américaines se sont révélées non fiables, alors pourquoi confier vos données à des entreprises accessibles par elles? Parfois, c'est le principe qui compte, pas vos données. Cela me déçoit que cela n'ait pas été mentionné dans les réponses fournies dans ce fil (à ce jour).

ʍǝɥʇɐɯ
la source
1
-1: Cette réponse reflète une incompréhension fondamentale du fonctionnement des techniques de chiffrement actuelles. Le gouvernement est peut-être grand et bien financé, mais il ne peut pas casser les mathématiques. Les codes Enigma sont une mauvaise comparaison car ils étaient "pensés" sécurisés, mais n'étaient pas prouvés comme le sont les algorithmes modernes (par exemple Twofish, AES). En outre, cela ignore le plus gros point - pourquoi diable avec les États-Unis chiffrer leurs propres données top secrètes avec un algorithme qu'ils savaient être cassé? Ça n'a pas de sens.
Billy ONeal
Le gouvernement a rompu le PGP avec des techniques «Enigma». C'était dans le New York Times en 2002 - je n'ai pas la citation à portée de main et je ne peux pas affirmer avec certitude que je n'ai pas été impliqué. Il y a un monde de différence entre la théorie du fauteuil et la pratique en temps de guerre, que ce soit la Seconde Guerre mondiale ou TWAT - The War Against Terror. À l'époque, beaucoup de gens pensaient que PGP était meilleur que «assez bon» pour la justification X, à toutes fins utiles incassable. Vous négligez le facteur humain qui est la différence cruciale entre la théorie et la pratique. Maintenant, vendez-moi un Titanic insubmersible.
2011
C'est en fait entièrement théorique - Dropbox a déclaré qu'ils se conformaient à l'application de la loi s'ils recevaient une assignation. Évidemment, leur cryptage est réversible; c'est ainsi que vous pouvez accéder à vos fichiers via l'interface en ligne. La vraie raison pour laquelle cette réponse n'est pas utile, c'est qu'elle ne tient pas compte de l'argument du demandeur: il n'est pas inquiet que le gouvernement voie ses papiers. Ce n'est pas un criminel. C'est juste des choses mineures, quelque peu sensibles, mais pas des secrets d'État.
nhinkle
1
Par analogie, que se passerait-il si Dropbox était basé en Chine? Seriez-vous satisfait de cela? Même si tu n'avais rien à cacher? Bien sûr que vous le feriez !!! Qu'on le veuille ou non, la Chine est bénigne et inoffensive par rapport à l'État policier des États-Unis après le 11 septembre. Contrairement à ce que Fox News vous dit, le gouvernement américain ne dépense pas 80 milliards de dollars par an pour chasser Ben Laden. «Intercepter les communications privées et commerciales et non les communications militaires» était le verdict du Parlement européen en 2001. Il suffit de demander à Airbus - après avoir été repoussé, je doute qu'il fasse confiance au «cloud» lorsqu'il soumissionne contre Boeing.
2011
1
... et aujourd'hui, la bien-aimée Dropbox n'a aucun mot de passe sur les fichiers de quiconque pendant quatre heures. cher oh cher.
ʍǝɥʇɐɯ