Saviez vous que les données du cloud d’Apple (iCloud) sont hébergées en partie sur les serveurs d’Amazon, de Microsoft et de Google?
Ça me fait marrer cette sous traitance. In fine, l’utilisateur ne sait rien d’où sont stockées ses données privées et qui y a accès.
Pourtant les intermédiaires des cette chaîne ont en pratique accès à vos données. De même que les autorités des pays qui les accueillent. (Safe harbour haha)
J’aimerai bien savoir combien de NDA intermédiaires il y a entre vous et le propriétaire du disque dur qui stocke vos données privées (non chiffrées bien sûr pour pouvoir les traiter facilement).
Si vous voulez rire, allez regarder du coté des CDN de Facebook. Vos photos privées sont copiées sur de multiples serveurs dans le monde et un simple lien permet à tout le mode d’y accéder.
Heureusement, Apple a l’air de vouloir moins dépendre de ses compétiteurs pour opérer son service de cloud et a investi 4 milliards de $ pour construire ses propres serveurs de stockage en Arizona, Irlande et au Danemark.
Bref, stocker ses données chez soi, c’est pas une mauvaise idée si on veut les garder privées :p
Edit suite au commentaire de barmic :
D’après ce document sur la sécurité d’Apple de septembre 2015, on trouve le passage suivant sur les données d’iCloud (page 41):
« Each file is broken into chunks and encrypted by iCloud using AES-128 and a key derived from each chunk’s contents that utilizes SHA-256. The keys, and the file’s
metadata, are stored by Apple in the user’s iCloud account. The encrypted chunks of the file are stored, without any user-identifying information, using third-party storage
services, such as Amazon S3 and Windows Azure. »
En clair, les prestataires (Amazon et Microsoft) ne peuvent déchiffrer seuls les données. Le chiffrement se fait par Apple sur ses machines, puis le fichier chiffré est envoyé à ses prestataires pour y être stocké. La clé de chiffrement restant sur les machines Apple (donc toujours à la portée des autorités américaines).
Il ne faudrait pas faire de la désinformation non plus. Toutes les données iCloud sont chiffrées (à moins que tu ai des éléments pour affirmer qu’Apple ment : https://support.apple.com/fr-fr/HT202303 ?). À partir de là, le fait qu’il y ai de la sous-traitance ne pose pas particulièrement de problème (d’un point de vu vie privée, il y a d’autres problème).
> Bref, stocker ses données chez soi, c’est pas une mauvaise idée si on veut les garder privées :p
Si tu utilise ce genre de cloud, c’est que tu veux avoir des garanties supérieures à ce que tu ferais en auto hébergé. Par exemple survivre au crash d’un serveur. Pour iCloud, les données sont évidement répliquées sur divers endroit du globe à fin de garder la données intact en cas d’incident majeur (explosion du datacenter). Tu peux t’offrir ça avec des serveurs dédiés, tu peux aussi l’envisager en auto hébergé, mais c’est pas aussi simple.
Seafile (celui que j’utilise) c’est vraiment super bien, mais il ne faut pas survendre les solutions libres.
Il y a chiffrement et chiffrement.
Si je mets mes données sur une partition chiffrée, je peux dire que toutes les données de mes clients sont chiffrées alors que j’en ai la clé.
La page web dont tu fais référence est sympathique mais pas très précise.
De ce que je comprends, Apple a la clé de déchiffrement des données. Le mot de passe n’étant pas utilisé dans le processus.
Mon intuition (pour avoir essayé de coder un réseau social chiffré et décentralisé), c’est qu’il est difficile de tout chiffrer coté client car ça implique que le serveur devienne aussi bête qu’un disque dur. Ca complique énormément la tâche pour fournir un service rapide et avec une faible bande passante. Exemple : si je veux voir les photos de 2013 sur mon Iphone comment ca se passe?
Le serveur ne sait rien du contenus des photos et m’envoie tout (plusieurs Go) et mon smartphone déchiffre chaque photo pour faire le tri? Ou le serveur a les métadonnées en clair pour m’envoyer plus rapidement ce qui m’intéresse? Ou la table des métadonnées est chiffrée est rapatriée sur le smartphone pour décodage et le smartphone indique quels chunks sur le datacenter il a besoin ?
Comment est géré le reset de mot de passe, l’appareil perdu, le multi device… ?
Sur http://www.apple.com/fr/privacy/government-information-requests/ entre les lignes , apparemment Apple peut décoder le contenu d’iCloud pour la police.
Il y a aussi cet article peut être dépassé aujourd’hui : http://www.nextinpact.com/archive/70009-apple-icloud-securite-cles-chiffrement.htm
Oui c’est Apple qui chiffre, je n’ai pas dit le contraire. Ce qui est faux c’est de dire que les prestataires d’Apple ont accès aux données en clair (ce qui est le sujet de ton billet).
Effectivement, dans ce document sur la sécurité d’Apple de septembre 2015, on trouve la phrase suivante sur les données d’iCloud (page 41):
« Each file is broken into chunks and encrypted by iCloud using AES-128 and a key derived from each chunk’s contents that utilizes SHA-256. The keys, and the file’s
metadata, are stored by Apple in the user’s iCloud account. The encrypted chunks of the file are stored, without any user-identifying information, using third-party storage
services, such as Amazon S3 and Windows Azure. »
Donc tu as vraisemblablement raison. Les prestataires ne servent que de bête espace de stockage.
Merci pour ton commentaire constructif !