Quelle alternative à Wuala : SecureSafe ou Tresorit ?
Le 17 août 2015, Wuala a annoncé la cession de ses activités. J’avais testé ce logiciel il y a plusieurs années et je l’avais préféré à Dropbox, tant pour des raisons juridiques (société suisse établie en Suisse, droit suisse pleinement applicable, etc.) que techniques (meilleure sécurité des données, chiffrement des données sur la machine de l’utilisateur, etc.). Il illeut donc chercher des alternatives qui offrent des caractéristiques juridiques et techniques semblables. Wuala suggère de passer sur Tresorit, mais j’ai aussi trouvé une autre solution : SecureSafe.
Laquelle choisir ?
Tresorit
Résumé
Les informations ci-dessous proviennent du site web de Tresorit.
Tresorit est exploité par la société anonyme Tresorit AG basée à Teufen (Appenzell Rhodes-Extérieures). Les serveurs stockant les données ne sont cependant pas situés en Suisse, mais dans l’Union européenne.
Tresorit utilise le chiffrement bout à bout (end-to-end encryption) qui assure que les données sont chiffrées avant d’être envoyées sur les serveurs. Les metadata sont aussi chiffrées. Les clés de chiffrement sont stockées sur vos appareils sans jamais être transmises de manière non chiffrée (par exemple lorsque vous partagez des fichiers avec un tiers). Cela signifie donc qu’en cas de perte du mot de passe de votre compte, ou d’autres mots de passe relatifs à vos données, ces dernières sont irrémédiablement perdues. (C’est le revers de la médaille que Dropbox n’a pas, Dropbox est moins confidentiel, car il peut déchiffrer vos données étant donné qu’il connait votre mot de passe.)
Tresorit n’offre (officiellement) aucune solution gratuite, la meilleur marché coûtant 10€ par mois pour 100 Go d’espace. Il est évidemment possible d’essayer Tresorit pendant 30 jours gratuitement. Cependant, dans les petites lettres, il s’avère qu’à la fin de la période d’essai, si l’on ne fait rien, le compte devient “basique” et reste gratuit indéfiniment, tout en n’offrant que 3 Go d’espace et des fonctions de partage limitées.
Conditions générales (du 25 août 2015)
Vous me connaissez, j’ai évidemment lu les conditions générales de Tresorit. Je n’y ai pas trouvé d’éléments follement intéressants, en dehors de ce qui suit.
Tresorit déclare qu’il peut utiliser les services de tiers de confiance pour fournir leur service. Le seul tiers de confiance explicitement mentionné est Microsoft. Quand on voit la polémique avec Windows 10 et les problèmes de protection des données que pose ce nouveau système d’exploitation, la notion de “tiers de confiance” m’apparait plutôt cocasse.
Tresorit ne peut être utilisé par des personnes situées à Cuba, en Iran, Corée du Nord, au Soudan, en Syrie ou dans d’autres pays faisant l’objet d’embargos de la Suisse, l’UE ou les USA. (Il faudra mettre cette liste à jour, l’Iran et Cuba n’y figureront plus très bientôt.)
Le droit suisse est uniquement applicable selon les conditions générales. En cas de litige avec Tresorit, la voie de l’arbitrage sera préférée. L’arbitrage se fera à Zürich et en anglais.
Enfin, certaines données comme vos informations de contact et de paiement ne sont pas stockées de manière chiffrée étant donné que Tresorit en a besoin pour gérer le compte utilisateur et la relation avec ses clients. Cela ne signifie pas qu’elles ne sont pas transmises par un canal chiffré.
Politique de confidentialité (du 3 juillet 2015)
La politique de confidentialité de Tresorit nous apprend quelques éléments intéressants.
Alors que le site web de Tresorit ne mentionne pas expressément où se trouvent les serveurs, on apprend que le maître de fichier, autrement dit, la personne privée qui décide du but et du contenu du fichier (art. 3 let. i LPD), est Tresorit Kft, société située en Hongrie. Cette société détient l’entier du capital de Tresorit AG.
En cas d’effacement du compte, les données personnelles ne sont pas immédiatement supprimées en raison de certaines obligations légales. L’adresse e-mail associée à votre compte ne sera en principe effacée qu’après un an.
Les données chiffrées sont quant à elles supprimées 90 jours au plus après la suppression du compte. (Étant donné que les données sont chiffrées et donc théoriquement impossibles à lire pour un tiers, je ne vois pas vraiment l’intérêt, même légal, à conserver ces données.)
Conclusion
Sur le plan légal et organisationnel, je n’ai pas détecté d’élément particulièrement choquant. Tresorit AG étant une société suisse détenue par une société hongroise, il existe un risque qu’en cas de problème en Hongrie, le service soit interrompu ou fortement entravé.
Pour le reste, sur le papier, ce service a l’air effectivement robuste.
SecureSafe
Résumé
Les informations ci-dessous proviennent du site web de SecureSafe.
SecureSafe est un service proposé par la société anonyme suisse DSwiss, fondée en 2008 et dont le siège est à Zurich. Tous les serveurs du service sont situés sur le territoire suisse et DSwiss revendique la nationalité suisse de tous ses actionnaires.
À l’instar de Tresorit, SecureSafe propose un service basé sur le chiffrement bout à bout. La connexion au compte se fait par une authentification à double facteur (comme pour votre e-banking). Les clés de chiffrement sont stockées sur vos appareils sans jamais être transmises de manière non chiffrée (en cas de perte du mot de passe de votre compte, vos données sont irrémédiablement perdues).
SecureSafe propose un coffre-fort de mots de passe. Comme vous n’utilisez jamais le même mot de passe pour les différents services dont vous vous servez (n’est-ce pas ?), cette fonction pourrait s’avérer utile.
Une fonction très intéressante est également fournie : l’héritage des données. Cela signifie qu’en cas de décès ou d’urgence, des personnes que vous aurez sélectionnées pourront activer une procédure au moyen de codes d’accès que vous leur aurez donné. Pour éviter les abus, l’accès est différé dans le temps afin de permettre à l’utilisateur légitime – qui est averti par e-mail et SMS – de se connecter à son compte, ce qui stoppe la procédure d’héritage.
SecureSafe propose différentes offres, dont une gratuite contenant 100 Mo de stockage et un stockage de 50 mots de passe.
Conditions générales (du 22 janvier 2015)
Voici quelques informations intéressantes trouvées dans les conditions générales.
Concernant l’héritage de données, si le code d’activation a été saisi par un bénéficiaire, mais que l’ayant droit intervient pour interrompre le processus, le code d’activation est invalidé et un nouveau code d’activation doit être créé par l’ayant droit.
SecureSafe efface les données après 90 jours à compter de la date de résiliation de du compte ou de l’échéance du contrat, ce qui permet à l’utilisateur de récupérer les données qu’il avait stockées. C’est également valable si l’héritage de données est activé, et même si l’héritage n’a pas été utilisé par les bénéficiaires.
Le tribunal de commerce de Zurich a compétence exclusive en cas de litiges, ce qui signifie qu’il n’y a pas de convention d’arbitrage qui permettrait une telle procédure extrajudiciaire.
Politique de confidentialité (pas de date)
La politique de confidentialité de SecureSafe ne contient pas d’élément qui mériterait d’être relevé, cependant voici quelques dispositions importantes.
SecureSafe collecte quelques données lors de la création d’un compte : nom utilisateur, adresse e-mail, numéro de portable, prénom, nom. Ces données ne peuvent être consultées que par le service client de SecureSafe.
Pour rappel, toutes les informations, y compris les fichiers et mots de passe, stockées dans sur SecureSafe sont entièrement chiffrées et personne d’autre que l’utilisateur ne peut y accéder.
Vos informations personnelles sont stockées et traitées en Suisse sur nos ordinateurs. Leur protection est assurée au moyen de dispositifs de protection physiques, électroniques et légaux, conformes à la réglementation fédérale suisse en vigueur. Nous utilisons des dispositifs de protection tels que les firewalls et le cryptage des données ; nous mettons en place des contrôles d’accès physiques pour tous nos bâtiments et fichiers, et seuls les employés ayant besoin de vos informations personnelles dans le cadre de leur travail sont autorisés à les consulter.
L’envoi des SMS d’authentification ou pour la procédure d’héritage est réalisé par une société suisse, Dolphin Systems (canton de Schwytz) et les numéros de téléphone lui sont transmis à ces fins uniquement.
SecureSafe reconnait ne pouvoir transmettre que le nom utilisateur et l’adresse e-mail de ses utilisateurs, tout le reste étant chiffré et impossible d’accès.
SecureSafe ne stocke aucune information concernant la carte de crédit utilisée pour le paiement ; Saferpay est l’organisme en charge des opérations de paiement.
Conclusion
SecureSafe offre des fonctionnalités très intéressantes, en particulier l’héritage de données et le coffre-fort de mots de passe. Sa formule gratuite est cependant moins intéressante que celle de Tresorit.
Si je devais choisir
Si je devais choisir entre ces alternatives à Wuala, je choisirais SecureSafe. Voici les raisons.
- Le degré de “suissitude” de SecureSafe est très élevé. Ce n’est pas du nationalisme primaire, mais j’apprécie le fait que mes données se trouvent dans mon pays de résidence, que la société à qui je les confie ne soit pas dépendante (économiquement et juridiquement) d’autres pays ou législations.
- Le fait que le droit suisse (contractuel et de la protection des données) soit pleinement applicable me donne, à moi juriste, une sécurité et une sérénité supplémentaire.
- Tresorit et SecureSafe offrent, sur le papier il me semble, un niveau de sécurité semblable. Cependant, la possibilité offerte par SecureSafe de transmettre les données à des tiers autorisés lorsqu’un événement particulier se produit est très intéressante. Certains y verront un risque au niveau de la sécurité, j’y vois plutôt une opportunité de ne pas perdre irrémédiablement des données lorsqu’un événement imprévisible se produit.
- Le prix de SecureSafe est comparable à ce que pratique Tresorit, mais SecureSafe propose quatre différentes offres pour les privés alors que Tresorit n’en propose qu’une. Cela permet d’affiner vos dépenses en fonction de vos besoins.
Si vous vous inscrivez sur SecureSafe, vous pouvez utiliser ce lien. Il vous permettra de bénéficier de 500 Mo supplémentaires sur votre compte gratuit pendant deux ans, et de m’en faire bénéficier aussi.
Un reproche à SecureSafe : l’interface utilisateur quand on utilise un navigateur web est horrible. De plus, tout est en Flash ! En Flash ! Une technologie bourrée de failles de sécurité que les géants du web abandonnent un à un. J’ai donc décider de n’utiliser que les applications dédiées (elles existent pour les plateformes suivantes : Mac OS, Windows, Android, iOS).
Ma solution
Ceux qui me lisent le savent peut-être, je suis un adepte des NAS, autrement dit des espaces de stockage en réseau. J’ai chez moi un NAS de la marque Synology qui m’a couté environ CHF 500 il y a quelques années. J’y ai deux disques durs de 2 To, l’un étant une sauvegarde de l’autre en cas de problème. Ce NAS est connecté à Internet et me permet d’accéder à toutes mes données de manière sécurisée.
Evidemment, cela nécessite un peu de connaissances techniques, mais pas tant que ça au final. Tout au plus faut-il un peu d’intérêt et de curiosité. Une fois passé le moment douloureux de l’investissement financier, tout n’est que bonheur. Mon NAS fait également office de serveur multimédia sur lequel je stocke et “streame” toute ma musique, mes films, séries, sauvegardes… Le tout est chez moi, sur mon bureau, sous mes yeux. Un vrai cloud personnel et privé.
Que faire en cas d’incendie ? J’y réfléchis encore, mais c’est pour cela que j’utilise aussi des services comme Wuala ou SecureSafe : j’y mets les données que je ne peux pas me permettre de perdre.
Que faire en cas d’inondation ? Il faudrait une belle crue du Rhône. Et si c’est la Grande Dixence qui lâche, je n’aurai plus besoin de mes données.
Rien n’est parfait.
J’attends vos remarques, suggestions, idées et commentaires avec intérêt !