Rechercher sur le site
Réseaux sociaux

Recevez une notification Facebook lors de nouvelles parutions d'articles sur Sécurité101 en "aimant" ma page Facebook!

Twitter

Pourquoi 101 ?

Wikipedia : Dans le vocabulaire anglo-saxon familier, une façon de désigner la base fondamentale à savoir sur un sujet donné, équivalente au "B-A-ba"

Au Québec l'utilisation du chiffre 101 pour parler de la base d'un domaine est plus répandue qu'en France.

Le chiffre vient des numéros de cours. Par exemple on commence par "Chimie 101" avant le cours suivant, "Chimie 201".

Sélectionnez la catégorie "101" pour voir mes publications d'information de base, et "201" pour des sujets plus avancés s'adressant aux professionnels de l'informatique.

Puissance Maximale

Je suis collaborateur pour l'émission Puissance Maximale sur les ondes de CJMD FM 96.9 à Lévis.

Voici comment ils se définissent:

Puissance Maximale est un collectif médiatique bénévole qui diffuse une émission de radio hebdomadaire. Nous couvrons les jeux de société, les jeux de cartes, les jeux de rôle, les jeux vidéo, les grandeurs nature et bien d'autres.

Même si la sécurité informatique n'est pas le sujet principal, ma chronique mensuelle s'adresse au même public "geek".

L'émission est très originale tant par le contenu que par le choix musical décalé. Ils n'ont pas peur de sortir des sentiers battus!

Catégories

Entries in Cloudfogger (2)

jeudi
mai172012

Analyse du chiffrement de Cloudfogger

Il est très facile de dire que certains fournisseurs de stockage dans le nuage font des erreurs quant à la sécurité des données, mais il faut aussi expliquer ce qu'ont fait les bons élèves!

Je tiens à avertir mes lecteurs habituels, le contenu de cet article est très technique et contient des notions que j'ai l'intention d'expliquer plus tard, comme les clés privées, clés publiques et le chiffrement symétrique et assymétrique. Cet article est dans la catégorie 201, donc s'adressant aux professionnels. Ne vous en faites pas si vous êtes perdus!

Le but à atteindre pour qu'un système soit considéré parfaitement sécuritaire est d'être, pour reprendre un terme entendu dans les netcasts Security Now, "Trust No One" (TNO, littéralement "Ne faites confiance à personne"). Une infrastructure TNO est conçue de manière à ne permettre l'accès aux données qu'aux utilisateurs nécessaires, ni plus, ni moins. Cela exclut même l'entreprise qui fournit ce service.

Cloudfogger est une "surcouche" logicielle pour plusieurs solutions comme Google Drive, SkyDrive et Dropbox entre autres.

Vous installez le logiciel Cloudfogger sur votre ordinateur, qui se positionnera entre vous et votre fournisseur d'espace disque dans le nuage, afin de chiffrer vos fichiers avant de les envoyer sur Internet.

Il chiffre automatiquement tout ce que vous mettez dans le lecteur créé à l'installation (X: par défaut) qui est configuré pour pointer vers le dossier que votre solution de stockage synchronise dans le nuage. Votre paire de clés publique/privée, est aussi créée à l'installation.

Le chiffrement à la volée du fichier se fait à l'aide d'une clé symétrique AES 256-bits générée exclusivement pour ce fichier. Cette clé symmétrique est chiffrée avec votre clé publique pour que vous puissiez plus tard la déchiffrer avec votre clé privée.

Vous pouvez partager des fichiers avec d'autres utilisateurs en chiffrant une copie de la clé propre au fichier avec la clé publique de l'utilisateur à qui vous souhaitez le partager. De cette façon, personne chez votre fournisseur d'espace disque dans le nuage ou Cloudfogger ne peut avoir idée du contenu du fichier. Seule votre clé privée et celle de l'utilisateur à qui vous avez partagé la clé peuvent déchiffrer la clé symétrique donnant accès au fichier.

En prime, Cloudfogger a un système pour retrouver l'accès à vos fichiers en cas de perte de mot de passe. Celui-ci est passé dans un algorithme de hachage produisant un hash de 256 bits. 128 bits sont gardés sur votre ordinateur et 128 bits chez Cloudfogger.

Personne ne peut faire quoi que ce soit avec une seule moitié, mais si vous avez perdu votre mot de passe, Cloudfogger peut vous envoyer les 128 bits manquants, vous permettant d'accéder à vos fichiers et de modifier votre mot de passe.

Ce système est parfaitement TNO. Le chiffrement par Cloudfogger a lieu avant de fournir vos données à Google Drive, SkyDrive, Dropbox ou autre, et vous seul possédez la clé. Cette architecture de chiffrement n'empêche pas des fonctionnalités pratiques comme le partage de fichiers et le recouvrement de compte en cas de mot de passe perdu.

Cet article a traité uniquement de la facette sécurité de Cloudfogger, mais il est important de dire que, pour l'instant il semble s'agir d'un produit un peu jeune, avec des problèmes dans l'interface. Il est à parier que ces problèmes cosmétiques seront vite réglés.

vendredi
avr.272012

Google Drive - Dark Side of the Cloud

Avec la nouvelle offre Google Drive, nous entendons de plus en plus parler des services offrant de l'espace de stockage dans le nuage, donc accessible de partout, partageable, et pratique pour faire des copies de sauvegarde.

Google Drive a, depuis sa sortie, été la cible de critiques par rapport à ses conditions d'utilisations, qui lui donnent le droit d'utiliser vos données pour leur propre compte.

Ce n'est rien pour aider les problèmes d'image de Google. En effet, avant même la sortie de Google Drive, Microsoft avait produit un vidéo promotionel humoristique de Office 365 qui faisait efficacement passer Google pour Big Brother avec son service GMail.

Les personnes faisant de la création, artistes ou programmeurs entre autres, devraient particulièrement se méfier de ce genre d'offre de stockage dans le nuage, pour ne pas voir leur travail réapproprié par leur hébergeur.

Image: George Stojkovic / FreeDigitalPhotos.net

Votre solution : Chiffrez tous vos fichiers avant de les envoyer sur Internet.

C'est relativement simple si vous utilisez déjà des outils de compression comme WinZip ou WinRAR. À la compression de vos fichiers, spécifiez un mot de passe dans les options. Ce sont ces fichiers en format .zip chiffrés que vous pourrez envoyer sur Internet sans grand danger. Il sera alors impossible de lire le contenu des fichiers pour qui que ce soit sans le mot de passe.

Il existe aussi des solutions techniques comme Cloudfogger qui chiffre à la volée tout ce que vous placez dans le dossier qui se synchronise avec le service de stockage dans le nuage.

Sinon, choisissez un fournisseur de stockage dans le nuage comme SpiderOak, qui fait des pieds et des mains pour prouver que son architecture les empêche d'avoir accès à vos données, grâce à un chiffrement en local sur votre ordinateur.