Les services comme Dropbox et Evernote permettent de stocker données et fichiers dans le nuage, facilitant le partage de l’information, la synchronisation entre multiples machines et la sauvegarde en cas de panne matérielle. Cependant, en confiant nos biens numériques à ces services, on s’expose selon moi à certains risques de sécurité importants concernant la confidentialité des données et la maîtrise de sa propre identité numérique. Cet article présente un aspect non trivial de la surface d’attaque de tels service de stockage dans le nuage.
Ça marche et on n’en parle plus
J’ai amplement utilisé Evernote et Dropbox pour le stockage de mes fichiers personnels, particulièrement durant mon doctorat et mon post-doctorat. Le premier m’a permis enfin de m’y retrouver dans mon fouillis de notes manuscrites numérisées, de livres et d’articles électroniques, de liens favoris et de photos. Le second fait un travail impeccable de synchronisation des fichiers entre multiples postes de travail et il s’est avéré un outil de sauvegarde exceptionnel. Ces deux services sont minimalement intrusifs — ils marchent et on n’en parle plus. La promesse du nuage n’en est plus du pelletage.
Les deux services ont aussi en commun d’avoir connu un succès admirable. Ils sont utilisés par des millions de gens, qui y stockent leurs plus précieuses données. Leurs serveurs constituent par conséquent d’incroyables cavernes d’Ali Baba numériques: des cibles juteuses pour qui voudrait s’emparer de l’information.
Des brèches d’information ont d’ailleurs eu lieu déjà pour les deux services sous discussion. Dans le cas de Dropbox, le dernier incident remonte à l’été 2012 et résulte d’une erreur humaine. En ce qui concerne Evernote, la brèche de janvier 2013 est plus inquiétante: les serveurs de l’entreprise ont été pénétrés par des hackers qui se sont emparés d’une liste de signatures de mots de passe. Cette situation a forcé Evernote à demander à tous ses usagers de changer leur mot de passe.
Le risque immédiat de telles fuites d’information affecte les gens qui utilisent un seul mot de passe pour l’ensemble des services avec lesquels ils transigent sur Internet. Si, par exemple, la signature cryptographique de mon propre mot de passe faisait partie de ceux volés dans l’incident d’Evernote, et si les voleurs arrivaient à déchiffrer mon mot de passe, ils auraient pu accéder à mon compte sur Amazon.ca, où le numéro de mon unique carte de crédit est stockée (mais j’ai changé le mot de passe des deux services, ha!). Cependant, je considère que le vol d’un compte de stockage de données dans le nuage comporte des risques excédant l’accès à d’autres services.
Le maillon le plus faible
Si on confie des fichiers à un service de stockage dans le nuage, on peut se demander si ces fichiers peuvent être volés. Nominalement, Dropbox et Evernote conservent les données sous leur responsabilité sous une forme fortement encryptée. Dropbox affirme qu’ils emploient l’algorithme d’encryption AES-256 pour les fichiers stockés; cet algorithme est arguablement le meilleur qui soit publiquement disponible. On peut raisonnablement supposer qu’Evernote met en oeuvre une cryptographie du stockage d’une force à peu près équivalente.
Malheureusement, ces deux services stockent par ailleurs sur leurs serveurs les clefs permettant de décrypter les fichiers des usagers, pour des raisons de versionage et d’efficacité dans le stockage et la transmission. Bien que ceci constitue selon moi une raison suffisante pour considérer non sûres les données confiées à ces services, il ne s’agit pas du plus faible maillon de la chaîne de sécurité de ces applications. Ce plus faible maillon est le mot de passe utilisé pour accéder au service.
N’importe qui nanti de ce mot de passe peut accéder librement à tous les fichiers de l’usager: c’est pourquoi les hackers visent les listes de mots de passe plutôt que d’explorer directement l’entrepôt de données. Comme évoqué un peu plus haut, les experts arrivent à déchiffrer plus de 75% des mots de passe à partir de la plupart des listes de signatures cryptographiques. Ce taux de succès alarmant découle de deux familles de facteurs.
- Les usagers ne choisissent pas un mot de passe adéquat: ils emploient des mots de passe communs (
abc123,motdepasse), trop courts (moins de 12 caractères), présents dans des dictionnaires de mots de passe (RVcetNRVsestNRV,ilovecelinedion,correcthorsebatterystaple) ou composés de caractères d’un ensemble trop restreint (lettres minuscules seulement). - Les mots de passe ne sont pas stockés de manière adéquate. Les mots de passe doivent être salés (e.g. mélangés à une suite de caractères choisie au hasard par le système) avant d’être convertie en une signature cryptographique binaire par un algorithme coûteux en calcul (
bcrypt,PBKDF2,sha512crypt…). Des mots de passe correctement salés et cryptés sont excessivement longs à déchiffrer, décourageant les tentatives. Cependant, plusieurs systèmes ne salent pas les mots de passe, ou encore emploient une signature cryptographique ultra-rapide à calculer (SHA1,MD5). Ces systèmes sont vulnérables. Il m’est choquant que ni Dropbox ni Evernote n’indique le procédé de stockage des mots de passe de leurs usagers.
Pour la suite de cet article, nous considérerons donc que le compte d’un usager serait compromis par vol du mot de passe.
Risques triviaux et subtils
Quels dommage peut causer un accès à nos données personnelles. Évidemment, si une partie des données comporte un caractère sensible, leur accès cause un tort direct. Je me suis moi-même surpris à placer sur Evernote toutes sortes de documents confidentiels, comme des polices d’assurance numérisées, des reçus de prescription, des relevés de carte de crédit… Avec le recul, je me rends compte que c’est une idée épouvantable, et je ne suis pas le seul.
Cet effet est d’autant plus insidieux avec Dropbox, qui synchronise silencieusement le contenu d’un dossier local contre un dépôt dans le nuage. Ayant utilisé des ordinateurs longtemps avant Internet, je vis avec le réflexe cognitif qu’un fichier est privé aussi longtemps qu’il reste sur mon disque dur et n’est pas copié sur un disque externe ou attaché à un courrier électronique. Ma longue barbe blanche est en train de se prendre dans les engrenages du nuage…
Un autre risque lié à l’accès au document consiste en l’infiltration d’un document piégé sur le poste de travail de l’usager. Depuis plusieurs années, il est possible pour un attaquant d’exécuter un programme arbitraire sur l’ordinateur d’un usager via un document piégé, qui exploite des vulnérabilités dans des logiciels tels Adobe Reader et Microsoft Word; c’est ce qu’on appelle un cheval de Troie. Dropbox et Evernote sont justement proposés comme services de partage de documents et avertissent l’usager lorsqu’un nouveau document a été ajouté à leur compte. Il suffit d’un accès au document pour créer une porte d’accès pour l’attaquant, qui peut intégrer l’ordinateur de l’usager à son insu à un réseau illicite de machines sous son contrôle (envoi de courriel non sollicité, attaques de déni de service distribuées, stockage de matériel numérique illégal…).
Au deuxième degré, l’accès aux documents stockés dans le nuage peut contribuer à un vol d’identité difficile à réparer. En effet, plusieurs des documents placés sur Evernote et Dropbox nous concernent et nous identifient partiellement. Par exemple:
- photos de famille ou de proches;
- carnet d’adresses;
- journal ou traces d’événements passés;
- relevé de médication et rapports médicaux;
- clefs cryptographiques pour accès à divers réseaux, comme serveur SSH, portefeuille Bitcoin, etc.
Muni de telles informations, il est aisé de réaliser un vol d’identité permettant d’accéder à des services financiers et bancaires de l’usager, permettant de transférer des fonds et de contracter des prêts en son nom.
J’ai vu aussi plusieurs pages web suggérant de stocker une base de données de mots de passe sur Dropbox. En général, cette base de données est stockée sur disque sous une forme encryptée et n’est décryptée que par un programme de gestion spécialisé, dûment contrôlé par un mot de passe maître de l’usager. Cependant, si ce gestionnaire écrit une copie décryptée temporaire de la base de données dans le même dossier, Dropbox synchronisera cette copie temporaire sur le nuage, rendant vulnérables tous les mots de passe de cet usager à une brèche de son compte.
Mitiger les risques
Nous avons supposé que la principale vulnérabilité de Dropbox et d’Evernote consiste en le vol du mot de passe. Heureusement, Evernote et Dropbox proposent à présent des protocoles de vérification d’identité en deux étapes, qui nécessitent l’entrée du mot de passe, ainsi que d’un code temporaire envoyé à l’usager sur demande d’accès au service. Ces protocoles mitigent effectivement l’impact du vol du mot de passe, car le voleur n’est typiquement pas en position de recevoir le second code.
Il m’apparaît évident, par ailleurs, qu’il faut prendre des décisions délibérées quant aux données qu’on choisit de stocker dans le nuage et de partager. L’authentification à deux étapes demeure un mode d’accès optionnel au service. Comme cet accès est plus compliqué, plusieurs usagers refuseront de le mettre en oeuvre et demeureront vulnérables au vol de mot de passe. Dropbox et Evernote encouragent le partage de document. Ainsi, même si Bob a mis en oeuvre l’authentification en deux étapes de son compte Dropbox, il demeure possible d’infiltrer son ordinateur: il suffit de voler le mot de passe d’Alice, sa proche collaboratrice, et de partager à Bob un document PDF monté en cheval de troie.
Pour ma part, j’ai décidé de renoncer à ces services de stockage sur le nuage. Il existe d’autres manières de partager, synchroniser et sauvegarder ses documents: on peut mettre en place un serveur accessible via DNS dynamique et SSH ou VPN. On peut aussi utiliser l’un des quelques services qui apparaissent sur le marché, qui ne stockent pas les clefs cryptographiques des données des usagers. Je rapporterai ici les résultats les plus intéressants de cette exploration.