SpiderOak : cloud chiffré (côté client)
Il y a bien longtemps qu’en bon parano que j’ai laissé tomber les prestataires de Cloud et me suis monté les miens. Oui “les” car avoir un cloud/backup c’est bien mais au-delà de la sécurité d’accès aux fichiers il faut aussi penser à leur duplication.
j’ai donc un serveur Online en RAID10 hébergeant OwnCloud et un NAS Synology RAID SHR + chiffrement pour stocker mes documents et sauvegardes de serveurs/PC/smartphones. J’ai récemment pris un abonnement chez HuBic afin de tester divers trucs, dont des sauvegardes automatisées de serveurs. Parce que pour les envoyer sur OwnCloud c’est pas génial et je le fais à la main.
Mon père m’a ce matin demandé si j’avais une solution de backup/Cloud à lui proposer. “Simple et pas cher”. De mon côté j’ai pensé simple mais aussi sécurisé. Et me suis mis en quête de solutions de chiffrement de Cloud qui soient très ergonomiques, pour ne pas dire “à la portée d’un enfant” :)
Il existe en gros 4 solutions pour avoir un Cloud chiffré (au moins 1 fois) :
- Monter son infrastructure avec un système de chiffrement directement sur la machine,
- Monter son infra et chiffrer en amont, côté client donc, pour ensuite pousser sur le serveur Cloud,
- Passer par un prestataire de Cloud classiques et chiffrer soi-même les données en amont, via un logiciel ou un script,
- Passer par un prestataire de Cloud chiffré, c’est-à-dire dont le client chiffre directement les données.
Dans mon contexte, pour mon père, les deux premières solutions impliquent un support de ma part. Sans compter l’installation des machines et la configuration à effectuer sur les PC de mes parents. Leur coût est aussi, théoriquement, plus élever que pour les suivantes. En effet, surtout dans l’hypothèse d’un chiffrement côté serveur, la puissance CPU requise va très certainement empêcher de prendre les offres de serveurs dédiées d’entrée de gamme.
La troisième solution force l’utilisation d’un logiciel tiers. Ce qui n’est ni à la portée de tous ni sécurisé étant donné que ces logiciels sont souvent non libres et donc au code source obscure.
Reste donc la dernière solution, trouver un prestataire de Cloud dont le client offre la possibilité de chiffrer les données côté client. Ceci permettant de garantir, selon la méthode employée, que les données ne pourront être lues ni par la dite société ni par un service gouvernemental quelconque.
J’insiste sur le “côté client”. En effet le principe est le même que pour les emails chiffrés avec GPG. Si vous mettez votre clé privée (qui sert à déchiffrer) sur le serveur de mail alors n’importe qui accédant à ce serveur peut obtenir ce sésame. Alors que conserver votre clé privée chez vous réduit les risques, en tous cas vous responsabilise et dédouane les tiers en cas d’intrusion. Un doute, pas de doute :)
De tels prestataires existent, vous avez notamment les SpiderOak et TresorIt. Ce dernier se fend d’ailleurs d’un comparatif éloquent le mettant en valeur vis-à-vis de certains de ses concurrents. Il force aussi le respect en proposant 50K$ à tout pirate réussissant à déjouer sa solution de chiffrement. Et c’est hébergé en Europe Top ! Sauf que… le code de son logiciel client, qui chiffre, n’est pas publié. Ce bémol, bien que certainement pratique pour limiter les sources de piratage, ne permet pas d’auditer son service. Ce qui le classe malheureusement du côté des “suspicieux” en matière de sécurité informatique. Sans compter que le prix, pour un seul utilisateur avec 100Go pour 10€/mois, n’est pas des plus abordables.
Je me suis donc tourné vers SpiderOak qui fait du coup office de seule alternative sécurisée et dont le code est publié. Non seulement le prix est plus agréable avec 1To pour 12$/mois (avec la bonne surprise de le voir ramené à 9$/mois quand on souscrit une offre -mensuelle dans mon cas-) mais c’est aussi Zero Knowledge que TresorIt. ZN signifiant que le contenu de votre Cloud est (fortement) chiffré chez vous avant d’être envoyé et que le prestataire n’a de fait aucun moyen de le déchiffrer.
Leur client SpiderOakONE est convivial et très simple. Et par ailleurs compatible Windows, Mac, Linux (dont Arch) et Android/iOS.
Il y a un petit bogue. Je n’ai pas 996Go (1To au global) de gratuit mais juste les 2Go de départ. J’ai en revanche souscrit l’offre mensuelle 1To.
J’ai lu quelques critiques, dont certaines au sujet de la vitesse d’upload. Je suis limité à 10Mbps en UP chez moi et là je vois que ça “sort” à 4Mbps. Mais vu que je suis derrière un VPN la vitesse max de ma ligne est réduite, je suppose donc que ça n’est pas si lent que ça. De toute manière, au pire, ça ne concerne que la 1ère fois qu’on synchronise son Cloud, ensuite seule les MàJ sont envoyée, donc pas des Go de données. Enfin logiquement.
Niveau consommation du client, pendant le chiffrement, c’est tout à fait correcte avec une moyenne de 10% de ressources CPU pompées et des pointes de temps en temps à 25% et quelques. Sur un Intel(R) Core(TM) i7-2670QM CPU @ 2.20GHz.
Je pense d’ailleurs que je testerai les backups de serveurs dessus histoire de voir ce que ça vaut.
Pour des documents secrets le Cloud chiffré via un prestataire n’est pas une solution viable. Dans ce cas rien ne vaut une infra homemade. Mais je trouve que c’est un très bon prestataire, simple et pas cher, pour du Cloud un minimum sécurisé.
