Pour gérer vos consentements :

Le nouveau Dropbox, une menace pour la sécurité ?

Le mois dernier Dropbox présentait Project Infinite à l’occasion de la conférence Dropbox Open London. Le fournisseur de service de stockage Cloud est revenu la semaine dernière sur cette innovation sous l’angle plus technique. Et le moins que l’on puisse dire est que sa nouvelle initiative n’est pas sans soulever nombre de questions de sécurité.

Project Infinite vise à permettre aux utilisateurs de Windows et Mac d’accéder à l’ensemble de leurs contenus, qu’ils soient stockés localement ou en ligne et quelle que soit la place disponible sur le disque dur local ou le nombre de fichiers indexés dans Dropbox, précise l’entreprise sur son blog. Concrètement, les fichiers présents sur le disque dur seront toujours annotés d’un petit coche vert pour indiquer qu’ils sont synchronisés dans l’espace de stockage en ligne. Ils s’enrichissent désormais d’un nouveau symbole graphique, sous forme de nuage, pour signaler leur existence locale alors qu’ils sont uniquement stockés en ligne. Il suffira de cliquer dessus pour les ouvrir et travailler dessus.

Au cœur du noyau

Comment Dropbox compte-t-il mettre en œuvre ce système ? « En jouant un rôle dans le système de fichiers », indique l’ingénieur Damien DeVille. Et d’expliquer la méthode : « Traditionnellement, Dropbox fonctionne entièrement dans l’espace utilisateur (user space) comme n’importe quel autre programme sur votre machine. Avec Dropbox Infinite, nous allons plus loin : dans le noyau (kernel) – le cœur du système d’exploitation. Avec le Project Infinite, Dropbox évolue à partir d’un processus qui observe passivement ce qui se passe sur votre disque local à celui qui joue activement un rôle dans votre système de fichiers. » Un projet qui aboutit après deux ans de développement.

Après avoir écarté l’idée d’utiliser FUSE (une interface logicielle qui permet aux utilisateurs non-administrateurs de créer leurs propres systèmes de fichiers sans avoir besoin d’écrire une extension du noyau) pour des questions de performances et de sécurité, Dropbox a finalement décidé de développer sa propre extension du noyau. Un choix qui apporte de nombreux avantages selon le fournisseur : d’abord une meilleure maîtrise de la consommation des ressources; ensuite, s’appuyer sur son propre logiciel lui permet de contrôler intégralement « ce que nous servons à nos utilisateurs ». Et même d’améliorer la sécurité, aux dires de Dropbox.

Dropbox va prendre une grande responsabilité

Ce n’est pas nécessairement l’avis de plusieurs experts en sécurité. Et notamment de Sam Bowne, enseignant le hacking éthique au City College de San Francisco. « Si Dropbox est dans le noyau, il peut accéder à l’ensemble de votre système », assure le professeur au site Motherboard. « S’il y a une faille dans Dropbox, elle pourrait être utilisée pour prendre le contrôle de votre système », poursuit-il prudemment. Les questions de vie privée se posent également dans la mesure où Dropbox accède, avec Infinite, à l’ensemble du système. « En passant de « userland » à « kernel-land », Dropbox va prendre une grande responsabilité, résume Sam Bowne. La façon dont Dropbox fonctionne maintenant, correspond à un vendeur de hot dog ambulant qui propose d’avoir une copie des clés de votre maison, d’y emménager, et vivre avec vous. » Vu comme ça…

Dropbox a réagi à ces critiques. Dans une mise à jour du blog, Damien DeVille reconnaît qu’un bug introduit dans le noyau peut affecter l’ensemble de la machine. Mais l’extension du kernel ne souffre pas d’une alternative efficace, selon Dropbox. « Le système de fichiers existe dans le noyau, donc si vous voulez étendre le système lui-même, vous avez besoin d’une interface avec le noyau, explique l’ingénieur. Après une conception minutieuse et son examen (l’extension du kernel est en test depuis plus d’un an chez Dropbox, NDLR), nous avons conclu que cette extension du noyau est la plus petite surface et donc la plus sécurisée à travers laquelle nous pouvons livrer projet Infinite. En se concentrant exclusivement sur les actions de fichiers Dropbox dans le noyau, nous pouvons assurer la meilleure combinaison vie privée et convivialité. » Il ne reste plus qu’à le croire sur parole.

Dropbox n’a pas précisé quand il rendrait disponible son application en version Infinite. Mais celle-ci risque d’attirer la perte de confiance et faire fuir plus d’un utilisateur. Netizen Rights en premier lieu parmi d’autres exemple glanés sur Twitter. « Il ne reste plus qu’à jeter Dropbox à la poubelle. Quelle autre altenative ? », fait-il semblant de s’interroger.


Lire également
Dropbox s’émancipe d’AWS avec sa propre infrastructure de stockage
Dropbox rêve de synchroniser les documents en P2P
Dropbox part enfin à l’assaut des entreprises

Recent Posts

Ransomwares : que paient les PME en France ?

6 PME françaises sur 10 victimes d'une attaque de ransomware disent avoir payé jusqu'à 40…

1 jour ago

5G : le Canada rejette Huawei

Le gouvernement de Justine Trudeau a décidé, comme son voisin américain, de bannir le géant…

1 jour ago

Dell Technologies : les 5 dirigeants les mieux rémunérés

Les cinq principaux dirigeants de Dell Technologies ont obtenu une rémunération totale combinée de 93…

1 jour ago

WhatsApp s’ouvre aux entreprises, avec une API basée sur le cloud

Mark Zuckerberg et le groupe Meta ont trouvé un moyen de générer des revenus B2B…

1 jour ago

Windows 11 : le portail de téléchargement usurpé par des hackers

Des pirates ont détourné le portail officiel de téléchargement du système d’exploitation Windows 11 pour…

1 jour ago

Sauvegarde et restauration : Veeam dévoile la v12

Veeam dévoile la mise à niveau de son offre Backup & Replication (v12) et dévoile…

2 jours ago