Le nouveau Dropbox, une menace pour la sécurité ?

Le projet Infinite de Dropbox, qui vise à optimiser la gestion du du stockage local des fichiers, fait controverse. Certains estiment qu’il introduit un risque de sécurité. Dropbox assure que non.

Le mois dernier Dropbox présentait Project Infinite à l’occasion de la conférence Dropbox Open London. Le fournisseur de service de stockage Cloud est revenu la semaine dernière sur cette innovation sous l’angle plus technique. Et le moins que l’on puisse dire est que sa nouvelle initiative n’est pas sans soulever nombre de questions de sécurité.

Project Infinite vise à permettre aux utilisateurs de Windows et Mac d’accéder à l’ensemble de leurs contenus, qu’ils soient stockés localement ou en ligne et quelle que soit la place disponible sur le disque dur local ou le nombre de fichiers indexés dans Dropbox, précise l’entreprise sur son blog. Concrètement, les fichiers présents sur le disque dur seront toujours annotés d’un petit coche vert pour indiquer qu’ils sont synchronisés dans l’espace de stockage en ligne. Ils s’enrichissent désormais d’un nouveau symbole graphique, sous forme de nuage, pour signaler leur existence locale alors qu’ils sont uniquement stockés en ligne. Il suffira de cliquer dessus pour les ouvrir et travailler dessus.

Au cœur du noyau

Comment Dropbox compte-t-il mettre en œuvre ce système ? « En jouant un rôle dans le système de fichiers », indique l’ingénieur Damien DeVille. Et d’expliquer la méthode : « Traditionnellement, Dropbox fonctionne entièrement dans l’espace utilisateur (user space) comme n’importe quel autre programme sur votre machine. Avec Dropbox Infinite, nous allons plus loin : dans le noyau (kernel) – le cœur du système d’exploitation. Avec le Project Infinite, Dropbox évolue à partir d’un processus qui observe passivement ce qui se passe sur votre disque local à celui qui joue activement un rôle dans votre système de fichiers. » Un projet qui aboutit après deux ans de développement.

Après avoir écarté l’idée d’utiliser FUSE (une interface logicielle qui permet aux utilisateurs non-administrateurs de créer leurs propres systèmes de fichiers sans avoir besoin d’écrire une extension du noyau) pour des questions de performances et de sécurité, Dropbox a finalement décidé de développer sa propre extension du noyau. Un choix qui apporte de nombreux avantages selon le fournisseur : d’abord une meilleure maîtrise de la consommation des ressources; ensuite, s’appuyer sur son propre logiciel lui permet de contrôler intégralement « ce que nous servons à nos utilisateurs ». Et même d’améliorer la sécurité, aux dires de Dropbox.

Dropbox va prendre une grande responsabilité

Ce n’est pas nécessairement l’avis de plusieurs experts en sécurité. Et notamment de Sam Bowne, enseignant le hacking éthique au City College de San Francisco. « Si Dropbox est dans le noyau, il peut accéder à l’ensemble de votre système », assure le professeur au site Motherboard. « S’il y a une faille dans Dropbox, elle pourrait être utilisée pour prendre le contrôle de votre système », poursuit-il prudemment. Les questions de vie privée se posent également dans la mesure où Dropbox accède, avec Infinite, à l’ensemble du système. « En passant de « userland » à « kernel-land », Dropbox va prendre une grande responsabilité, résume Sam Bowne. La façon dont Dropbox fonctionne maintenant, correspond à un vendeur de hot dog ambulant qui propose d’avoir une copie des clés de votre maison, d’y emménager, et vivre avec vous. » Vu comme ça…

Dropbox a réagi à ces critiques. Dans une mise à jour du blog, Damien DeVille reconnaît qu’un bug introduit dans le noyau peut affecter l’ensemble de la machine. Mais l’extension du kernel ne souffre pas d’une alternative efficace, selon Dropbox. « Le système de fichiers existe dans le noyau, donc si vous voulez étendre le système lui-même, vous avez besoin d’une interface avec le noyau, explique l’ingénieur. Après une conception minutieuse et son examen (l’extension du kernel est en test depuis plus d’un an chez Dropbox, NDLR), nous avons conclu que cette extension du noyau est la plus petite surface et donc la plus sécurisée à travers laquelle nous pouvons livrer projet Infinite. En se concentrant exclusivement sur les actions de fichiers Dropbox dans le noyau, nous pouvons assurer la meilleure combinaison vie privée et convivialité. » Il ne reste plus qu’à le croire sur parole.

Dropbox n’a pas précisé quand il rendrait disponible son application en version Infinite. Mais celle-ci risque d’attirer la perte de confiance et faire fuir plus d’un utilisateur. Netizen Rights en premier lieu parmi d’autres exemple glanés sur Twitter. « Il ne reste plus qu’à jeter Dropbox à la poubelle. Quelle autre altenative ? », fait-il semblant de s’interroger.


Lire également
Dropbox s’émancipe d’AWS avec sa propre infrastructure de stockage
Dropbox rêve de synchroniser les documents en P2P
Dropbox part enfin à l’assaut des entreprises