Outils

Stocker des fichiers dans le cloud est pratique, mais le mot « chiffré » sur la page marketing d'un fournisseur peut vouloir dire des choses très différentes. Comprendre quel type de chiffrement un service propose fait la différence entre des fichiers que vous seul pouvez lire et des fichiers que le fournisseur — ou quiconque le contraint — peut lire aussi. Mieux vaut bien saisir cette distinction avant de confier quoi que ce soit de sensible à un service.

Deux types de chiffrement cloud

La forme la plus courante est le chiffrement au repos, où le fournisseur chiffre vos fichiers sur ses serveurs mais détient aussi les clés. Cela protège vos données si quelqu'un vole un disque dur du centre de données, mais ne les protège pas du fournisseur lui-même, d'un employé malveillant, ni d'une injonction légale obligeant le fournisseur à remettre des copies lisibles. C'est une vraie protection contre certaines menaces et aucune protection contre d'autres.

Le chiffrement de bout en bout, parfois appelé zéro-connaissance ou chiffrement côté client, est le modèle le plus solide. Ici, vos fichiers sont chiffrés sur votre propre appareil avant d'être envoyés, avec une clé que le fournisseur ne voit jamais. Le fournisseur ne stocke qu'un texte chiffré qu'il ne peut pas lire, de sorte que lui-même ne peut pas accéder à vos fichiers. Le compromis : si vous perdez votre mot de passe ou votre clé de récupération, il n'y a généralement aucun moyen pour le fournisseur de récupérer vos données — la propriété qui vous protège fait aussi que personne ne peut vous sauver.

Les services qui chiffrent de bout en bout

Plusieurs services offrent un vrai chiffrement de bout en bout. Proton Drive, qui fait partie de la suite Proton basée en Suisse, chiffre les fichiers de bout en bout par conception. pCloud propose une fonction optionnelle de chiffrement côté client, commercialisée sous le nom de pCloud Crypto, pour les fichiers placés dans son dossier chiffré. Tresorit et d'autres visent le même modèle zéro-connaissance. Le point commun : le chiffrement a lieu sur votre appareil, pas seulement sur les serveurs du fournisseur.

• Chiffrement au repos : le fournisseur détient les clés et peut lire vos fichiers
• Bout en bout / zéro-connaissance : chiffré sur votre appareil, illisible par le fournisseur
• Proton Drive (de bout en bout par conception) et pCloud Crypto (optionnel) en sont des exemples
• Zéro-connaissance = pas de récupération du mot de passe — gardez votre clé en lieu sûr
• Par couches : stockage grand public pour l'ordinaire, chiffré pour le sensible

Les services grand public courants occupent un autre point du spectre, et il faut le dire honnêtement. Les grands services de stockage chiffrent généralement les données en transit et au repos avec des clés qu'ils contrôlent, ce qui convient pour la commodité et la protection contre le vol externe, mais ce n'est pas du chiffrement de bout en bout. Si votre but est que le fournisseur ne puisse pas lire vos fichiers, ces services n'y répondent pas par défaut, quel que soit le langage rassurant employé.

Choisir selon ce que vous protégez

Choisir entre ces modèles dépend de ce que vous protégez et du niveau de sécurité de récupération que vous voulez. Pour des fichiers ordinaires et non sensibles, un chiffrement au repos pratique chez un fournisseur fiable est tout à fait raisonnable. Pour des documents que vous devez vraiment garder privés — relevés financiers, pièces d'identité, écrits personnels — le chiffrement de bout en bout est le modèle qui tient réellement la promesse, à condition d'accepter la responsabilité de vos clés.

Quel que soit votre choix, quelques points pratiques s'appliquent. Gardez une sauvegarde de votre mot de passe de chiffrement ou de votre clé de récupération en lieu sûr, car avec les services zéro-connaissance il n'y a pas de réinitialisation. Rappelez-vous que les noms de fichiers et l'arborescence sont parfois moins protégés que le contenu, selon le service. Et reconnaissez qu'un chiffrement du stockage solide cesse de protéger un fichier dès que vous en partagez une copie lisible avec quelqu'un d'autre.

Une approche pratique par couches

Il aide aussi de réfléchir à l'endroit où repose finalement votre confiance. Avec le chiffrement au repos, vous faites confiance à l'honnêteté du fournisseur et à sa résistance aux pressions légales ; avec le chiffrement de bout en bout, vous faites plutôt confiance aux mathématiques et à votre propre gestion des clés. Aucun des deux ne supprime entièrement la confiance, mais ils la placent en des mains très différentes, et savoir lesquelles vous préférez rend le choix entre services bien plus clair.

Une approche raisonnable pour la plupart des gens est une approche par couches. Utilisez un stockage grand public pratique pour la masse des fichiers ordinaires où l'accès et le partage priment, et réservez un service chiffré de bout en bout, ou un dossier chiffré, au petit ensemble de documents qui doivent vraiment rester privés. Ainsi vous obtenez la commodité là où elle aide et une vraie confidentialité là où elle compte, sans prétendre qu'un seul outil fait tout.

Si vous voulez une recommandation unique pour démarrer, une option chiffrée de bout en bout comme Proton Drive ou un dossier pCloud chiffré est le choix par défaut le plus sûr pour les contenus sensibles, parce que le fournisseur ne peut pas lire ce que vous stockez. Construisez votre habitude autour de cela pour les fichiers qui comptent, gardez votre clé de récupération en lieu sûr, et vous aurez un stockage cloud dont la confidentialité repose sur la cryptographie plutôt que sur une promesse.