Dropbox : une clé USB pour sécuriser l'accès à son compte
Pour renforcer la sécurité des comptes de leurs utilisateurs, la plupart des grands services ont adopté l'authentification (ou validation) en deux étapes, qui consiste à demander un deuxième facteur après le mot de passe classique. Il s'agit généralement de saisir un second code reçu sur son smartphone, mais ce n'est pas la seule option possible.
Dropbox permet maintenant de se servir d'une clé USB comme deuxième facteur d'authentification. Après avoir entré son mot de passe traditionnel, on insère la clé dans l'ordinateur et on a ensuite accès à son compte.
Contrairement à un smartphone, la clé USB ne risque pas de tomber à court de batterie ou de pousser l'utilisateur à révéler ses deux facteurs à un malandrin via un filoutage sophistiqué.
Pour cette fonction bien précise, il ne faut pas n'importe quelle clé USB. Il en faut une qui prenne en charge la norme « FIDO Universal 2nd Factor (U2F) ». On en trouve autour de 10 €.
Les explications pour sélectionner une clé USB comme second facteur sont disponibles dans le centre d'assistance de Dropbox. Google aussi prend en charge les clés U2F. Concernant les navigateurs, il n'y a que Chrome qui supporte U2F actuellement.
On peut utiliser à la fois une clé FIDO pour Dropbox et en même temps également pour Google ? Ou nous devons en posséder plusieurs ?
Une moitié de bonne idée. Sécurité contre le malandrin du coin (au sens hackeur-pré-adolescent-ukrainien-boutonneux), oui, peut-être. Confidentialité et Respect de la Vie Privée (au sens politique du terme), je n'y crois pas une seule seconde !
+1 encore que
Niveau confidentialite, les choses sont claires:
- les donnees sont sous le coup de la loi applicable dans le territoire ou elles sont heberges> les USA donc 0 confidentialite.
- Dropbox est une societe soumise au patriot act > 0 confidentialité
- l'utilisateur n'a pas le choix de son systeme de chiffrage ni meme du niveau > 0 confidentialite
Ensuite niveau securite > si Dropbox garanti l'acces aux donnees a la NSA, n'importe quel mafieux/gibier de potence/ agence d'intelligence economique /... peut y a voir acces.
La cle USB c'est pas une mauvaise idee, encore faut il qu'elle soit certifiee et ne soit pas un vecteur d'attaque, car rappelons le, l'USB contient des failles qui permettent des attaques redoutables, donc ne mettez pas n'importe quoi dans votre port USB sans precaution...
La seule veritable chose que cela garanti, c'est que les curieux non hacker et les scriptkiddies pourront pas tripatouiller illegitimement vos donnees.
Mais il faut se souvenir que: une donnee qui transite sur le Net n'est plus privee et qu'elle sera bien interceptee et lu par quelqu'un.
Donc, pensez a chiffrer toutes vos donnees AVANT de le mettre dans Dropbox et autres boites de Pandores!
C'est fou la technologie ! Dropbox était un des précurseur du Cloud, et donc de "L'après clé USB" ! Et maintenant on peut même utiliser une clé USB, non pas pour stocker, mais juste pour avoir accès à ses propres données... À ce tarif, autant se prendre une bonne clé USB, un petit logiciel de cryptage sur mot de passe et ça coût pas plus cher. En plus, pour augmenter la capacité, pas besoin de payer tous les mois !!
@PetitTim :
Mais tu perds l'intérêt principal du système : la connexion entre tout tes appareils. Je te mets au défis de réussir à lire une clé sur ton iPad, ou iPhone. Quand bien même tu utilise d'autres appareils, ils se doivent d'être compatibles avec ton système de cryptage. C'est sur que si tu utilises uniquement un type de machine (Mac ou Windows), cette solution présente de nombreux intérêts.
Y a des cles USB comptabiles iBidule.
Y des NAS portables, Wifi compatibles avec tout, meme Linux!
Y a des softs compatibles tout OS
Y a des softs de chiffrage asymetrique opensource qui ne contiennent pas de porte pour la NSA (Truecrypt est de ceux la, mais bon ses auteurs sont quelques part dans une salle d'interrogation de la C*A)
Y a aussi surtout des solutions de cloud personnels, entièrement opensource, fonctionnant sur un Raspberry ou un vieux PC et qui avec un VPN aussi personnel offre sacrement plus de garanties que n'importe quel piege a gogo type Dropbox.
Et j'imagine qu'avec ton Cloud personnel, les données sont répliquée sur plusieurs sites automatiquement, que l'alim est redondante, que la connexion internet est également redondante et que le logiciel de sync installé sur le Mac est aussi fiable que DropBox ?
Allons allons un peu de sérieux :-)) Pour ce genre d'utilisation, un Raspberry ou un vieux PC, ça ne vaut pas un clou(d).
Si t'es serieux et que tu as besoin de ce dont tu parles, alors tu as un administrateur systeme, des serveurs, et ca fait des annees que tu as un intranet et un extranet et tu n'as rien a faire de Dropbox. Heureusement, les reseaux prives d'entreprises ca existait bien avant la foutaise marketing du Cloud...
Une entreprise qui utilise Dropbox, moi je me pose meme pas la question de son serieux... je vais chez le concurrent direct...
@PetitTim :
Plus juste que ça, y'a pas !
@PetitTim :
Difficile alors de partager tes fichiers, travailler en groupe, utiliser ton iPad (ou autre) pour consulter tes fichiers ( et annoter),...
Mais effectivement un utilisateur qui se sert du cloud comme d'une clé USB n'a aucun intérêt à payer pour un tel service! Il y a toutefois des offres gratuites intéressantes pour cet usage plus léger.
C'est a se demander comment on avait une economie productive avant l'arrivee des Cloud?
;)
@PetitTim
Pour en rajouter un peu sur le dos de Ptit Tim,
en plus de ce que les 2 autres ont dit, il y a aussi la petite limitation de la clé USB. ;)
Comment je fais pour mettre les 500Go de données sur la petite clé ? (oui oui.. celui qui veut sa confidentialité n'a qu'à prendre un disque externe crypté... )
"Comment je fais pour mettre les 500Go de données sur la petite clé ? (oui oui.. celui qui veut sa confidentialité n'a qu'à prendre un disque externe crypté... )"
Voilà : vous avez répondu à votre question.
@PetitTim
Un point de vue très étriqué et nombrilo centré.
Tu nous expliques comment on travaille à distance sur le même dossier avec une clé USB ?
DB ce n'est pas seulement du stockage. Il y a qques années je travaillais dans une boite qui avait son propre serveur, c'était trèèès lent à distance, coûteux, il a fallu changer le serveur trois fois en 5 ans.
Aujourd'hui chacun travaille à distance sur les mêmes dossiers et ça coûte 0 en faisant un peu de ménage de temps en temps.
@solent :
Ca coute la confidentialité des données mais si c'est pas des secrets industriels important "ca passe"
Absolument, on peut aussi crypter mais ça complique.
Pour l'anecdote, j'avais toujours accès au serveur de la boite un an après l'avoir quitté... Je suppose que l'accès a été coupé quand ils ont cramé le 4° serveur ;-) comme on dit : la faille elle est sur la chaise devant l'ordi.
Sans meme parler de secret industriel, les documents qui passent dans Dropbox permettent de nuire fortement a l'entreprise lorsqu'ils tombent dans des mains adverses. L'intelligence economique ne s'arrete pas aux secrets industriels...
Ordinaquoi??
Il faut acheter la bonne clef car sinon le malandrin pourrait également copier le fichier ! Inquiétant quand c'est pas Dropbox qui vend le matériel.
Cela ne saurait concerner les plus mobiles qui utilisent DropBox sur tablette et smartphone.
DropBox est aussi l'occasion de découvrir la paranoïa des gestionnaires informatique qui interdisent l'accès à ce serveur. Que l'on empêche la création d'un compte DropBox depuis une société ce conçoit du point de vue sécurité et confidentialité, mais qu'on rende impossible les échanges est démentiel.
"DropBox est aussi l'occasion de découvrir la paranoïa des gestionnaires informatique qui interdisent l'accès à ce serveur."
Ces gestionnaires informatique ne sont pas nécessairement paranoïaques.
DropBox est en plusieurs points très inadapté aux exigences d'un usage en entreprise.
Et pas qu'en entreprise d'ailleurs.
Y a tout un pan du hacking que l'on nomme le social engineering, qui permet de trouver des chaines dans des reseaux relationnels de personnes qui sont necessaires a l'obtention des donnees pour entrer dans les systemes qui devraient rester confidentiels. L'exploitation des cloud et des reseaux sociaux est devenu une grosse source d'exploitation dans ce secteur...
Et il ne faut pas oublier que la faiblesse d'une chaine c'est dans son maillon le plus faible. Si vous securisez a mort votre systeme d'information mais que vos clients/partenaires/fournisseurs ne font pas de meme, alors votre securite informatique est menacee directement...
Ils en font en USBC ?
Quand on voit que pour la CB , on a simplement un code secret, enfin tellement secret qu'il est a l'arriere de la CB (on ne rit pas) !! . Pas étonnant des nombreuses escroqueries a la CB.
Alors que une calculette que cet usb essaye de reproduire aurait été un immense pas en avant.
Et cette calculette existe au moins depuis 20 ans comme moyen d'authentification.
Un moyen physique en dehors de la carte + une authentification par mdp voila qui devrait etre la règle.
Beaucoup n'ont rien compris au principe d'une telle clé.
Ce n'est pas de crypter vos données, mais rendre impossible la connexion à votre compte via internet seul.
C'est juste une sécurité supplémentaire, que certains jugent nécessaires.
C'est un dongle, comme celui qui se trouve avec certains logiciels onereux. Mais pour infos ces logiciels ont toujours pu etre "crackés". Le dongle ca ce contourne assez facilement...
@Darkside
Si tu utilises une clé comme moyen pour sécuriser tes données, il faut que tu aies un moyen de sécuriser tous tes accès... Ta clé FIDO, n'est pas plus compatible avec l'iPad que toute autre clé. On a vu traîner sur la toile des photos de stars suite au piratage de leur sauvegarde d'iPhone, sauvegarde qui permet aussi d'accéder aux données de Dropbox. On n'est pas à l'abris d'autre faille. Et si tu as des données confidentiel, par pur bon sens, tu ne les mets pas sur service public qui peut lui aussi avoir ses failles, malgré toutes les sécurités.
@Highboot
Dropbox ne permet pas, à ma connaissance de travailler en même temps sur le même document. Au mieux de le partager avec possibilité de lecture/écriture, mais là encore, quel intérêt d'une clé pour sécuriser si on peut partager n'importe quel document sans ladite clé ?
@Patrick86
+1up
@solent
Si tu travailles à distance avec quelqu'un, tu ne peux pas garantir que l'autre personne ne partagera pas un document d'une manière non sécurisé. Donc ça ne sert à rien. Et même si il faut chacun sa clé, tu fais comment si l'autre travaille sur un iPad ?
Aujourd'hui, on fait même des jeux et des applications professionnels en cloud couputing...
Pour "la faille sur la chaise devant l'ordi" +1up !
@LeSedna
Sécurité qui peut, comme beaucoup d'autres, être contourné tant qu'elle n'est pas obligatoire sur tous les supports et dans toutes les situations...