iCloud : Apple aurait accès aux données hébergées de ses utilisateurs
Mais son service est loin d’être le seul, le Cloud en question ?
Le débat sur le Cloud et les espaces de stockages hébergés risque d’être relancé. Depuis hier, un site américain renommé affirme en effet qu’Apple aurait accès aux données que ses utilisateurs décident de stocker ou de synchroniser (musique, contacts, photos, favoris, etc.) via iCloud.
Soulignons tout de suite qu’Apple est loin d’être le seul dans cette situation puisque Ars Technica indique que des services comme Box.net ou Dropbox (entre autres) seraient également concernés.
« Vos informations ne sont pas à l’abris des yeux indiscrets », accuse le web-magazine. « Apple peut à tout moment consulter les données de iCloud, et dans certaines circonstances pourrait les partager avec les autorités ».
Le problème tient au fait que le chiffrement des données hébergées n’est pas optimal. Seuls leurs transfert seraient totalement sécurisés (en SSL). Un point de vue avancé par le chercheur Jonathan Zdziarski et la société spécialisée Securosis.
Pour eux, une fois qu’elles arrivent sur les serveurs, les clefs de chiffrements des données sont entre les mains d’Apple (ou de Dropbox ou de Box.net). Ce qui pose un problème important sur le contrôle de ses données et un risque qu’une personne interne au prestataire de service Cloud dérobe ces clefs.
« Dans un système de chiffrement symétrique, il y a toujours une porte dérobée », regrette pour sa part Echoworx, une société qui vend des solutions de sécurisation pour les produits Cloud. Même si Apple assure avori mis en place des process pour qu’un vol de ces clefs de chiffrement soit quasi impossible, Echoworx pense que la seule solution raisonnable serait que les plateformes passent toutes à des clefs asymétriques.
Aujourd’hui, « si vous pouvez le voir dans votre navigateur, ils peuvent le voir sur leurs serveurs » acquiesce Securosis. Avec des clefs asymétriques (une clef publique et une clef privée), seul l’utilisateur (qui est le seul à posséder cette clef privée) aurait accès à ses données.
Ces experts ne jettent pas pour autant la pierre à Apple. Un tel système de chiffrement asymétrique n’est pas simple à mettre en place, notamment dans le domaine très sensible (et très friand de synchronisation) qu’est le secteur de la mobilité. Et surtout il n’est pas simple à utiliser par « Madame Michu ».
Résultat, sans cette sécurit », iCloud ne devrait pas être utilisé dans un cadre professionnel. Une recommandation qu’Apple lui-même ferait à ses clients corporate si l’on en croit Ars Technica.
Les entreprises pourront se rabattre sur Exchange pour synchroniser les mails, les calendriers et les contacts. Et les personnes qui se sentent concernées par ces problématiques n’utiliseront iCloud que pour les données qu’elles jugent non sensibles.
En attendant que la démocratisation du chiffrement asymétrique ne règle toutes ces question. Une démocratisation qui malheureusement ne serait pas vraiment pour demain.
Source : Ars Technica
Et vous ?
Quelle solution professionnelle vous ou votre entreprise utilisez-vous pour synchroniser les informations sensibles ?
Partager