En clair, lorsqu'une personne malveillante a un accès physique à votre machine, vous risquez d'être piratés. Si la formule décrite est nouvelle -- et quelque peu alambiquée --, la règle est vieille comme le monde : en 1985, une personne malveillante pouvait déjà copier des données sensibles sur une disquette 5"1/4, ou formater le disque dur/la disquette de données, etc. Ou pour faire plus récent, depuis que l'e-mail existe, avec un accès physique, il suffit de copier le fichier où est stocké le mot de passe mail et tous les mails POP3 ou IMAP seront accessible depuis la machine de l'utilisateur malveillant sans que l'utilisateur légitime sache quoi que ce soit. Le même cas de figure que ce qui est décrit dans ce texte en gros. Je comprends que l'actualité est un peu plate ces derniers temps, mais pourquoi pas un article d'opinion détaillant ce que je viens d'expliquer et dénonçant cet appel à la paranoïa, plutôt que l'annonce d'une faille (même entre guillemets) ?

Le fait que DropBox ait acces a toutes vos donnes me semble une plus grosse faille de securite.

@ NicolasO : De toute façon, il y a toujours un moment où un fournisseur de service accède à tes données : que se soit tes mails chez Google, Yahoo ou autres, que se soit les données qui transitent par ta connexion chez ton fournisseur d'accès, tes messages et autres données chez MacG, etc… Soit tu fonctionnes en vas clos et tu ne laisses personne (ou pratiquement personne) accéder à tes données en te montant ton propre serveur avec toutes la complexité et les frais que ça engendre, soit tu choisis judicieusement tes fournisseurs de service. Choix judicieux en fonction duquel tu estimes pouvoir à qui faire confiance ou non.

Une illustration de plus des risques et danger que représente le stockage en ligne, et tout ce qui touche au cloud en général. En l'occurrence, il faut ici avoir un accès physique a la machine, mais il y a d'autres méthodes qui permettent d'avoir accés à l'ordinateur à travers le réseau, a commencer probablement par la faille utilisée lors de la derniere pwn2own et qui n'est toujours pas comblée. Une autre approche serait d'installer un keylogger sur le compte de l'utilisateur ou un autre troyen et que celui ci fouille les bases SQLite... Et on ne parle même pas des personnes qui ont accés physique à l'espace de stockage du cloud... Un moyen de se prémunir des risques c'est encore de commencer à utiliser Truecrypt pour coder ses fichiers a stocker sur le reseau, de coder ses mails avec MacGPG2 (ou enigmail sous thunderbird) et d'utiliser des comptes utilisateurs et administrateurs distincts sur son mac... http://www.gpgtools.org/macgpg2/index.html http://www.truecrypt.org/

Vive le cloud... effectivement! :/ Avec le "cloud über alles" qu'on va (bientôt) instaurer de manière universelle, on ne va pas manquer de surprises "dingues"!

ha ben quand machine personnelle piratée, tout accès personnel est piraté. ha ben vi. hé dis donc, vous imaginez si je copie votre trousseau de sécurité os x ? huhuhuhuhu...

@rom54 : j'attendais cette réaction pour faire remarquer que depuis toujours, les e-mails étaient stockés « dans le cloud », c'est-à-dire sur une machine distante et récupérés lors de la connexion du client. Pas grand-chose de neuf sous le soleil.

@rom54 [08/04/2011 13:09] pour que vous ne dormiez plus dela nuit : quand vous êtes connectés à internet via un réseau d'école, université, restaurant, lieux public etc, vous avez tant confiance que ça en l'admin système ? celui qui a mis un petit ordi qui enregistre toutes vos communications en claires et stock les éventuels mot de passe http non-ssl, pop, imap, protocole zarbi improvisé par un shareware exotique, etc ? hmm? ps: ha vi, j'ai pas vu que rom54 n'en dort déjà pas de la nuit. ça va.

La faille, c'est que l'ordi sur lequel on copie les données de la configuration ne demande pas de mot de passe. Pour le corriger, il faudrait que Dropbox demande un mot de passe à chaque démarrage. Avec possibilité de l'enregistrer dans la trousseau MacOS. Comme ça, on peut donner une autorisation permanente à Dropbox d'y accéder, mais dès qu'on copie les fichier sur une autre machine, ça ne marche plus. Le souci je pense, c'est que ça obligerait les gars de Dropbox à faire des processus différents suivant les OS. Plus de boulot, mais pas impossible. Sinon, pour ce qui est de confier ses données, c'est pareil pour n'importe-quel logiciel que vous installez sur votre bécane, les gars. A partir du moment où un logiciel a une commande "ouvrir", ça veut dire qu'il peut accéder à tous les fichiers de votre ordi, et potentiellement les envoyer où il veut par internet. Le cloud le rend plus visible, mais n'a pas créé la faille. Les solutions : LittleSnitch, et des images-disque chiffrées pour les données sensibles. Simple, gratuit puisqu'intégré au système, et sûr.

Il y a une faille de sécurité sur toutes les cartes bleues, si quelqu'un a physiquement accés a votre carte bleu, il peut noter les numéros et s'en servir pour acheter sur le net ... faut supprimer toutes les cartes bleu. Il y a une faille dans les voiture .. si quelqu'un à physiquement accés a vos clef il peut vous la voler (meme sans en fait). faut arreter avec les propos alarmiste quand même. Surtout que si quelqu'un a accés physiquement à votre machine. 1) il a déja accés a vos fichier 2) il peux installer un keyloger le plus simplement du monde et vous prendre bien plus que vos image sur dropbox.

Ziflame "Je comprends que l'actualité est un peu plate ces derniers temps..." Tu m'étonnes ! C'est mort en ce moment. Vivement le début du NAB pour avoir du nouveau sur FCP

@Ziflame @oomu Concrètement qu'est ce qui vous pose problème avec le fait que je relève des problèmes de sécurité factuels liés au cloud et que je donne des conseils simples a mettre en oeuvre pour les minimiser? Utiliser Truecrypt est hypersimple. On veut mettre ses données sur un serveur dont on ignore tout, on veut mettre ses données sur une clef USB ou un disque portable, on place le fichier Truecrypt dessus et c'est tout... Utiliser systématiquement PGP avec Enigmail ou GPGMail pour Mail c'est simple et automatique: on installe, on edite ses clefs de cryptage, on peut meme simplement définir automatiquement quels sont les destinataire qui vont revoir des mails sécurisé ou pas. Je suis le premier a identifier que la première faille de sécurité en informatique c'est l'utilisateur et surtout son manque de connaissance des règles de sécurité et des risques existants, mais je suis aussi le premier à dire que l'utilisateur d'un ordinateur n'est pas sensé être ingénieur informaticien. Je déplore aussi que les gesticulations commerciales font en sorte de desinformer l'utilisateur, de manière ou non intentionnelle. Cela dit, il y a des solutions et des comportements assez simples pour sécuriser un minimum ses données informatique: quel mal y a t'il à les diffuser et qui provoque ces remarques ironiques ou sarcastiques? On peut réagir sur un forum ou dans ces commentaires autrement que de manière uniquement polémique et émotionnelle, non? Oomu, tu semble avoir de solides compétences en info, pourquoi ne pas en faire profiter les gens qui en ont moins et expliquer simplement ce qu'il faut faire afin d'avoir un débat constructif et utile au plus grand nombre?

@rom54 : le problème c'est que la "faille" décrite dans cette news n'est ni une faille, ni liée au cloud. Or tu sembles dire que c'est un des problèmes du cloud. Ben non, en fait c'est un des problèmes de l'ordinateur, une fois que t'as accès au système de fichier t'as grosso modo accès à tout, en te donnant bien sûr plus ou moins de mal. Ceci dit ça n'enlève rien à l'intérêt de ta remarque sur le chiffrement de ses données :-)

@ rom54 : Exactement Truecrypt est une bonne solution que j'utilise tous les jours, mais ce n'est pas à la portée de tout le monde ! Pour le commun des mortels, les solutions de cryptage ou le simple fait de taper un mot de passe toutes les 10 mn devient complexe.

j'ai eu un PB il y a 1 mois 1/2 environ ou l'on a accédé à mon trousseau ou l'on m'as effacer tous les mots de passe (je pense que l'on y a accéder à partir de une ouverture crée par la Dropbox ) blocage de safari, j'ai vite débranché le câble adsl et me suis désabonné de la Dropbox en attendant + de sécurité ( je pense que la Dropbox étais en cause mais je ne peux pas l'affirmer enfin se genre d'intrusion est assez désagréable un peux comme un cambriolage .

@ ErGo_404 Je comprend ton point de vue, mais c'est celui d'une personne connaissant bien les principes informatique. La notion de faille de sécurité n'est pas uniquement liée à un défaut de réalisation technique, ca peut etre un defaut conceptuel ou une méconnaissance de l'information dont dispose l'utilisateur. En l'occurrence il y a défaut technique et non prise en compte de l'etat de connaissance de l'utilisateur. Le fait que la connexion automatique soit possible a partir de la récupération d'un fichier aisément accessible sur l'ordinateur est une erreur de conception. On retrouve ce type d'erreur de conception sur iOS ou l'on peut facilement récupérer les mots de passe de l'utilisateur d'une manière similaire. Dropbox devrait envoyer sur le net uniquement des données crytpées et accéder éventuellement a la clef de cryptage que de manière explicite et avec l'accord de l'utilisateur. De plus, dans ce type de logiciel il devrait y avoir systématiquement un système de log explicite pour l'utilisateur lui indiquant clairement la date, la duree et les données transmises. On peut aussi reporter la responsabilité sur l'OS qui devrait crypter les fichiers. OpenBSD dispose de ce mécanisme, mais pas OS X. L'utilisateur de base croit, très souvent, lorsqu'il enregistre son travail sur son disque, que ce travail est sauvegardé de manière sécure et personne ne peut y avoir accés sans utiliser son ordinateur. Ce qui est évidement faux. La plupart des utilisateurs n'ont même pas conscience de la précarité du stockage sur disque (quand ils savent encore ce qu'est un disque et a quoi il sert) et c'est pour ca que la majorité de fait jamais de sauvegarde ni d'archivage... OS X, prend maintenant en compte cette information sur l'utilisateur et implemente enfin un mécanisme de sauvegarde automatique avec TimeMachine, compensant la meconnaissance de l'utilisateur, et c'est un des rare système à le faire. De même la majorité des gens, lorsqu'ils envoient un mail ou un fichier par internet, ne se posent même pas la question de savoir sous quelle forme le message est envoyé, ou il va passer, s'il sera stocké, qui pourra y avoir accés, ect... Pour eux, ils écrivent et le correspondant reçoit! Le problème avec le cloud, va plus loin puisque le fournisseur a intérêt commercial à exploiter les données de l'utilisateur, pour du profilage social ou comportemental. De plus meme si le fournisseur ne fait pas cela, si il y a une faille technique dans son système, quiconque peut alors avoir accès aux données de l'utilisateur, sans que celui-si le sache et surtout sans qu'il ait conscience explicitement de ce risque. Il peux y avoir ainsi trois niveaux de faille. Si l'utilisateur crypte ses données, ce qui est simple, il se prémunit, au moins en partie de ces risques. Je ne pose pas la question de savoir si les informations ou les données de l'utilisateur sont sensibles et si leur interception est ou non préjudiciable, je ne fais qu'exposer les risques et dangers existants entre informatique/ sécurité des données/ vie privée et je tente d'y apporter des solutions simples (et en l'occurrence gratuites) et tout du moins une connaissance. @ liocec Qu'est ce qui fait que ce n'est pas à la porté de tout le monde? Une fois paramètré on "monte le disque" en donnant un mot de passe et on l'utilise comme n'importe quelle partition, la chose a faire c'est de "monter" le disque explicitement. Pour envoyer les données a quelqu'un on envoye le fichier Truecrypt a son correspondant. Ou est la difficulté?

@ RUNTO Moi je pense plutôt une fichier corrompu. Je dis ça, je dis rien :p

Seccotine : entre un secteur corrompu et un administrateur réseau corrompu, qui est le pire ? :-D

@ Ziflame Les gens paranos ?

@RUNTO A priori cela ressemble plus a une corruption du fichier du trousseau d'accés. As tu essayé de réparer le trousseau avec le système de réparation intégré a l'application trousseau d'accés? Application trousseau, puis "SOS trousseau" (3eme item du menu de l'application) ou (option+command+a)? Et as tu lancé une vérification du disque et des autorisations avec l'utilitaire disque en démarrant à partir du dvd d'installation? Sinon ce que tu reportes la serait bien une grosse faille de sécurité... PS: y a aussi ClamXav, l'activation de ton firewall (preferences systéme/sécurtié/pare-feu) que tu peux utiliser...

@ rom54 j'ai découvert à ce moment là la fonction de réparation du trousseau qui n a rien donnée. pour ce qui est des autorisations j'utilise en général Onyx pour Tiger et en cas de gros ménage j'utilise l'utilitaire du DVD. j'ai réparé les autorisations et le disk par le biais de l'Utilitaire .Un Imac G4 sous Tiger à peut être plus de faille qu'un Mac Intel récent ?? j'ai fais une réinstallation propre (j'ai un disk externe donc les dégâts ont été minime) changer les mots de passe mais bon çà prend du temps.

@ rom54 : Il faut aussi créer un disque de départ (fichier ou partition) et sur Windows dans le cas où l'on souhaite installer le tout sur une clé, il faut lancer Truecrypt manuellement (nouvelle protection MS interdisant l'ouverture auto), et / ou sélectionner le fichier crypté, parfois choisir un disque (f: par ex), monter l'image... démonter l'image... Tout se fait automatiquement pour un initié, mais pour quelqu'un de "normal", c'est un peu compliqué.

Ça me fait penser à une faille toute bête de Linux et autres UNIX. Dans le chargeur de démarrage ( GRUB ) , il n'y a souvent pas de mot de passe et on peut passer des paramètres au chargement du noyau. Du coup, en chargeant le système au niveau d'initialisation juste avant le multi-utilisateurs, on n'a pas à saisir de mot de passe. "su root" suivi de "passwd" et le tour est joué. Tout ça pour dire que les failles les plus énormes sont accessibles dès qu'il y a un accès physique à la machine.

Pour vérifier les machines connectées : dropbox.com/account#manage Attention : si vous délié et relié une machine (par exemple, pour passer d'un compte à un autre), elle apparait plusieurs fois. De même si vous avez renommé la machine côté machine (ex : "Macbook-de-Patrick" renommé en Mac-de-Patrick"). Donc, prendre garde. Ne pas se fier qu'à l'IP : dans une entreprise, plusieurs machines utilisent la même IP.

Sapristi ! Au delà de l'intérêt évident des débats, que de fautes de ponctuation, de liaison, de syntaxe et / ou d'orthographe ! ... même de la part du rédacteur ....

La faille serait bien réelle. L'accès à la machine n'a pas besoin d'être physique, puisque une seule exécution d'un logiciel permettrait de récupérer les informations de connexion afin d'accéder en permanence aux données en ligne par la suite. Par exemple, un code malveillant inséré dans une application ou dans un utilitaire d'installation lancé par l'utilisateur pourrait parfaitement atteindre ce but.