Un article d'ars technica relance une petite polémique concernant la sécurité des données stockées par les services de cloud. L'an dernier, à peu près à la même époque, Dropbox avait été critiqué suite à la modification de ses conditions d'utilisation qui stipulaient clairement que l'entreprise pouvait accéder aux données de ses clients en cas de besoin (lire : Dropbox fait le point sur la sécurité). Cette fois, c'est iCloud qui est concerné.
Les conditions générales iCloud sont très claires. Dans la rubrique "Accès à votre Compte et au Contenu", on peut lire :
Apple se réserve ainsi le droit d'accéder aux données quand elle le juge nécessaire, ou si les autorités lui demandent des informations. Pour que cet accès soit possible, l'entreprise doit pouvoir déchiffrer les données stockées sur ses serveurs : iCloud chiffre vos données pour empêcher les accès non autorisés de l'extérieur, pas pour empêcher les accès de l'intérieur.
En clair, vos données personnelles sont en sécurité chez Apple et aucun internaute malveillant ne pourra normalement y accéder. Pour les afficher ou les modifier, vos identifiants iCloud sont indispensables, que ce soit directement dans le navigateur Internet ou depuis les terminaux mobiles ou les ordinateurs.
Un tiers ne peut pas y accéder, mais Apple peut à tout moment afficher, modifier ou supprimer vos données iCloud. L'entreprise dispose ainsi des clés de déchiffrement et elle peut les utiliser de manière exceptionnelle. Le contrat d'utilisation restreint les cas où Apple peut-être amenée à accéder aux données : une demande des autorités (si vous êtes suspects d'actes terroristes, par exemple) ; si vous ne respectez pas le contrat d'utilisation (en hébergeant des contenus qui ne respectent pas le droit d'auteur, par exemple) ; enfin si votre utilisation d'iCloud pose problème pour le bon fonctionnement du service ou pour sa sécurité.
Ces mesures sont normales et elles concernent toutes les entreprises qui hébergent du contenu, Apple pour iCloud comme Dropbox. Il n'y a pas lieu de s'inquiéter donc, même si Apple pourrait mieux faire en matière de sécurité des données si l'on en croit des experts interrogés par ars technica. Seul problème, des mesures plus strictes nuiraient à l'expérience utilisateur et on sait à quel point Apple tient à ce point, plus encore qu'à la sécurité des données.
Inutile de s'inquiéter, mais autant le savoir : vos données vraiment confidentielles n'ont rien à faire sur un service de cloud comme Dropbox ou iCloud. À moins bien sûr de pouvoir les chiffrer manuellement avant leur envoi sur les serveurs de l'entreprise : ce n'est pas possible avec iCloud, mais c'est facile avec Dropbox et même utilisé par certaines applications comme 1Password (39,99 €). L'Utilitaire de disque d'OS X permet aussi de créer des images chiffrées qui seront difficiles à déchiffrer sans le mot de passe associé, mais le plus sûr reste encore d'héberger les données sensibles sur ses propres serveurs.
Les conditions générales iCloud sont très claires. Dans la rubrique "Accès à votre Compte et au Contenu", on peut lire :
Vous reconnaissez et acceptez qu’Apple peut, sans engager sa responsabilité à votre égard, accéder, utiliser, préserver et/ou divulguer les informations relatives à votre Compte et Contenu aux autorités, aux représentants du gouvernement et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou approprié, si la loi l'exige ou si nous avons de bonnes raisons de croire que cet accès, utilisation, divulgation ou préservation est raisonnablement nécessaire
Apple se réserve ainsi le droit d'accéder aux données quand elle le juge nécessaire, ou si les autorités lui demandent des informations. Pour que cet accès soit possible, l'entreprise doit pouvoir déchiffrer les données stockées sur ses serveurs : iCloud chiffre vos données pour empêcher les accès non autorisés de l'extérieur, pas pour empêcher les accès de l'intérieur.
En clair, vos données personnelles sont en sécurité chez Apple et aucun internaute malveillant ne pourra normalement y accéder. Pour les afficher ou les modifier, vos identifiants iCloud sont indispensables, que ce soit directement dans le navigateur Internet ou depuis les terminaux mobiles ou les ordinateurs.
Un tiers ne peut pas y accéder, mais Apple peut à tout moment afficher, modifier ou supprimer vos données iCloud. L'entreprise dispose ainsi des clés de déchiffrement et elle peut les utiliser de manière exceptionnelle. Le contrat d'utilisation restreint les cas où Apple peut-être amenée à accéder aux données : une demande des autorités (si vous êtes suspects d'actes terroristes, par exemple) ; si vous ne respectez pas le contrat d'utilisation (en hébergeant des contenus qui ne respectent pas le droit d'auteur, par exemple) ; enfin si votre utilisation d'iCloud pose problème pour le bon fonctionnement du service ou pour sa sécurité.
Ces mesures sont normales et elles concernent toutes les entreprises qui hébergent du contenu, Apple pour iCloud comme Dropbox. Il n'y a pas lieu de s'inquiéter donc, même si Apple pourrait mieux faire en matière de sécurité des données si l'on en croit des experts interrogés par ars technica. Seul problème, des mesures plus strictes nuiraient à l'expérience utilisateur et on sait à quel point Apple tient à ce point, plus encore qu'à la sécurité des données.
Inutile de s'inquiéter, mais autant le savoir : vos données vraiment confidentielles n'ont rien à faire sur un service de cloud comme Dropbox ou iCloud. À moins bien sûr de pouvoir les chiffrer manuellement avant leur envoi sur les serveurs de l'entreprise : ce n'est pas possible avec iCloud, mais c'est facile avec Dropbox et même utilisé par certaines applications comme 1Password (39,99 €). L'Utilitaire de disque d'OS X permet aussi de créer des images chiffrées qui seront difficiles à déchiffrer sans le mot de passe associé, mais le plus sûr reste encore d'héberger les données sensibles sur ses propres serveurs.
