Topic: Du cloud computing et de la sécurité informatique

Voici un récit à lire à tout prix. L'histoire de quelqu'un qui, en moins d'une heure, a perdu accès à son compte Google (supprimé), mais aussi à Twitter, à iCloud, le service de stockage d'Apple, et donc à son iPad, son iPhone et son Macbook, sur lesquels toutes ses données ont été effacées (il a perdu toutes les photos de sa fille). Bref, il a été hacké, et il a tout perdu.

C'est en grande partie de sa faute, puisqu'il n'avait pas fait de sauvegardes de ses données mais aussi parce que l'adresse de récupération de son compte Google était celle associée à iCloud : quiconque accédait à son adresse iCloud pouvait obtenir son compte Google aussi. Mais le pire c'est la manière dont les hackers se sont introduits dans son compte iCloud. Du brute-force, un méchant keylogger installé sur son ordinateur ? Absolument pas. Ce qu'ils ont fait, tout le monde peut le faire. Ils ont profité de failles de sécurité humaines chez Apple et Amazon (chez qui la victime possède un compte).

Il se trouve qu'Amazon permet, quand ou a oublié son mot de passe, d'avoir accès à son compte en donnant simplement son adresse de facturation et l'adresse électronique du compte. Oui, rien que l'adresse de votre domicile, que votre voisin, votre employeur, votre livreur de pizzas ou n'importe quel internaute cherchant dans les pages blanches connaissent. Une fois connecté, il est ensuite possible de voir en clair les quatre dernier chiffres de chaque numéro de carte bancaire enregistré : Amazon ne les considère pas comme importants (on les trouve en effet facilement sur n'importe quel relevé). Or, le service client d'Apple considère précisément ces quatre chiffres comme suffisants pour avoir accès à son compte quand on oublie son mot de passe. À partir de là, le tour est joué.

Ce genre de failles à quand même de quoi faire peur, vu toutes les données qu'on met dans le « cloud » : ce mec ne pouvait même plus ouvrir son iMac, bloqué à distance. Certains crieront que c'est de sa faute : « il n'aurait pas dû donner la clé de sa vie entière à Apple, tout peut arriver aux données stockées sur leurs serveurs, on l'avait bien prévenu »… Mais personnellement, je pense pas qu'on puisse faire demi-tour. Il faut bien le reconnaître, ces services sont extrêmement pratiques. Google Docs m'a sauvé la vie plus d'une fois quand je n'avais pas d'ordinateur à moi, Dropbox aussi. Pour travailler en groupe, c'est la même chose, ces services permettent de partager bien plus facilement qu'avec de simples clés USB. Pourquoi refuser ce qu'on peut, je pense, qualifier de progrès ?

Mais bien sûr, ce n'est pas pour autant qu'on doit aveuglément faire confiance à ces services. Il est possible d'une part de militer pour un plus grand respect de la vie privée : les conditions d'utilisation de Dropbox leur donnent des droits sur nos fichiers, et je pense qu'on peut sinon les changer, du moins les clarifier (il s'agirait d'une obligation légale concernant des opérations de maintenance routinières). On peut faire pression sur ces sociétés pour qu'elles respectent mieux certaines normes de sécurité aussi, dans le cas d'Apple et d'Amazon.

Et à une échelle plus personnelle, on peut utiliser le cloud sans en devenir dépendant. On peut évidemment rappeler l'utilité des sauvegardes régulières, car si quelqu'un supprime tous vos documents sur Google Docs que faites-vous ? À ce sujet, des outils permettant d'exporter facilement ses données du cloud se développement de plus en plus (cf. le Data Liberation Front chez Google, qui détaille la procédure pour retirer ses données de la plupart des services). On peut aussi, très simplement, réfléchir avant d'envoyer tout fichier sur un service : s'il s'agit de la liste de vos coordonnées bancaires (j'espère pour vous que vous n'avez même pas d'un tel fichier), il n'est peut-être pas très intelligent de l'envoyer où que ce soit…

On peut aussi renforcer la sécurité de ses comptes. D'abord en utilisant des mots de passe sûrs, c'est-à-dire avant tout longs. Voici d'ailleurs un outil pour se faire une idée du temps qu'il faudrait pour deviner votre mot de passe. Ensuite, utiliser des mots de passe différents compte aussi ; peut-être pas un par site, mais au moins en séparant votre adresse électronique principale, les services principaux et le reste. Si vous utilisez beaucoup Google,  la validation en deux étapes peut se révéler très utile aussi (dans le cas du récit, ça lui aurait évité de perdre son compte).

Bref, je crois qu'on peut quand même utiliser le cloud de manière assez sûre, pourvu qu'on soit prêt à prendre quelques mesures efficaces.