SpiderOak : Snowden conseille d'abandonner Dropbox, et vite
Il y a plusieurs années, avant le scandale de la NSA, je conseillais déjà d’abandonner Dropbox, ou à tout le moins d’en limiter fortement l’usage, spécialement pour des données personnelles ou professionnelles. Cette semaine, Snowden en rajoute une couche et conseille SpiderOak à la place. Selon Snowden, Dropbox est hostile à la vie privée, en particulier pour deux raisons.
Premièrement, Condoleezza Rice siège dans son conseil d’administration et au vu de son CV (conseillère à la sécurité nationale sous Georges W. Bush, de 2001 à 2005, et conseillère d’État en charge des affaires étrangères jusqu’en 2009), elle est “la fonctionnaire la plus anti vie privée qu’on puisse imaginer”. Elle était notamment très favorable au programme Stellar Wind de la NSA, un genre d’Echelon bien plus puissant, géré uniquement par la NSA, heureusement jugé inconstitutionnel en 2008 par le Department of Justice des États-Unis, mais validé par le Congrès avant la fin du mandat de Georges W. Bush.
Enfin, Dropbox garde un accès non chiffré aux données des utilisateurs. Dropbox stocke les mots de passe des utilisateurs, ce qui mâche le travail du gouvernement lorsqu’il souhaite accéder aux données des utilisateurs.
À l’inverse, Wuala, un service helvetico européen, et SpiderOak, mentionné par Snowden, ne stockent pas les mots de passe des comptes des utilisateurs. En effet, les données sont chiffrées sur l’ordinateur de l’utilisateur et envoyées ainsi sur les serveurs. Cela s’appelle une politique “zero-knowledge". SpiderOak n’a accès qu’aux données fournies lors de la création du compte, mais pas aux informations qu’on stocke sur leurs serveurs. L’inconvénient est que si l’utilisateur perd son mot de passe, les données sont irrécupérables ; l’avantage est que si un gouvernement veut accéder et consulter les données, il faudra les déchiffrer d’abord, et cela prend du temps, de l’énergie, de l’argent, etc.
SpiderOak, alternative US fiable ?
Par principe, j’évite d’utiliser des services de stockages américains, même si mes données sont chiffrées avant leur envoi. Je préfère les garder chez moi, sur mon NAS qui fait office de cloud privé, ou sur Wuala, un service de sauvegarde et de synchronisation basé à Zurich.
SpiderOak est une startup basée à Chicago et qui a été fondée en 2007. La startup comptait, avant la déclaration de Snowden, un million d’utilisateurs, 42 employés, et a cosponsorisé un “événement anti-NSA” cette année à San Francisco.
Selon leurs conditions générales oranges, le mot de passe associé au compte utilisateur n’est ni connu de SpiderOak ni stocké chez eux. Il est possible cependant de leur laisser un indice de mot de passe, en cas d’oubli. Cet indice est stocké de manière chiffrée et est envoyé à l’utilisateur par e-mail s’il le demande.
SpiderOak ne partage pas de données avec des tiers (d’ailleurs, comment le pourraient-ils si elles sont chiffrées et donc illisibles ?). Cependant, ils en collectent, en plus des données qu’on stocke chez eux. Selon leur déclaration sur la vie privée, ils collectent notamment les nom et prénom, adresses postale et e-mail, numéro de téléphone, numéro de carte de crédit (si l’on décide d’utiliser leur offre payante), et d’autres informations permettant de vous identifier, par exemple l’adresse IP. Celle-ci est par contre stockée (le cas échéant transmise) dans une forme agrégée, c’est-à-dire sans autres données d’identification. Il n’est nulle part question de monétiser les données collectées à des tiers. Cependant, les données comme le numéro de carte de crédit peuvent être transmises à des tiers qui travaillent avec SpiderOak pour la gestion des transactions, etc.
Comme d’habitude avec les conditions générales, SpiderOak se réserve le droit de les modifier en tout temps. Cependant, ils publieront une notice sur la page d’accueil, voire enverront un e-mail d’avertissement. C’est un bon point. Mais il y a mieux : les conditions générales n’ont pas changé depuis le 23 novembre 2007 ! 7 ans sans changement. On peut donc supposer que SpiderOak est fidèle à sa ligne, à ses principes. De plus, cela laisse à penser que leur système est costaud et que tout a été pensé et prévu dès le départ. Les CGU oranges n’ont pas changé depuis le 23 juin 2009.
Une attention spéciale a été apportée aux informations données aux Européens. SpiderOak annonce se soumettre au cadre général du Safe Harbor EU et Suisse.
Conclusion
Si Snowden recommande SpiderOak, je serais tenté de dire qu’il ne faut pas se poser trop de questions et foncer. D’un point de vue sécuritaire, SpiderOak fait mieux que Dropbox et n’a pas de membre de l’administration Bush dans ses rangs.
Cependant, cette société reste une société américaine, soumise au droit américain et donc à toute la législation sur la surveillance. Les données des utilisateurs sont stockées aux États-Unis. Pour cette raison, j’émets une réserve, qui est une réserve de principe, car j’estime qu’il vaut mieux conserver les données pas trop loin de chez soi. L’Europe est suffisamment grande, trouver un service similaire à SpiderOak n’est pas compliqué : il existe Wuala, société suisse rachetée par le groupe français LaCie, malheureusement lui-même racheté par Seagate, société américaine. Il en existe sûrement d’autres, dont je vous invite à partager les noms dans les commentaires.
Ce qui reste certain, comme l’affirme Snowden, c’est que Dropbox doit être laissé de côté au profit d’une solution (si possible) locale, mieux sécurisée, et aussi plus impliquée dans la protection des données.