Google Drive et vie privée : merci EncFS

Il y a quelques jours, Google a – enfin ! – lancé son service de stockage de fichiers dans les nuages, Google Drive. Reprenant le fonctionnement de Google Docs pour la version web, il se dote en plus d’un client de bureau permettant la synchronisation d’un dossier local avec le Drive, ce qui rend enfin le service utilisable (auparavant, Google Docs pouvait déjà stocker n’importe quel type de fichier, mais sans fonction de synchronisation). Reste un problème de taille : les conditions d’utilisation…

Celles ci ont en effet de quoi en refroidir plus d’un, tant elles semblent ignorer toute notion de respect de la vie privé, en particulier avec cette clause :

En soumettant des contenus à nos Services, par importation ou par tout autre moyen, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées (des traductions, des adaptations ou d’autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d’affichage ou de distribution public desdits contenus. Les droits que vous accordez dans le cadre de cette licence sont limités à l’exploitation, la promotion ou à l’amélioration de nos Services, ou au développement de nouveaux Services.

Le seule solution pour sécuriser les données personnelles est donc de le chiffrer localement, les fichiers avant des les envoyer vers les serveurs de Google.

Il y a quelques mois déjà, j’avais envisagé l’utilisation de TrueCrypt pour sécuriser mes fichiers avant des les envoyer sur Dropbox. Mais cet excellent petit logiciel open-source souffre d’un défaut majeur dans le cadre d’une utilisation couplée avec un service de cloud : le conteneur est un fichier monolithique, et donc, chaque modification du contenu, aussi infime soit-elle entraine la synchronisation d’un gros fichier de plusieurs Go… De même, la récupération d’un petit fichier depuis un autre poste nécessite de télécharger tout le conteneur. Enfin, je n’avais pas trouvé de solution permettant d’accéder au contenu d’un fichier TrueCrypt depuis Android. J’avais donc fini par abandonner temporairement l’idée du cloud, n’étant pas motivé pour mettre en place un ownCloud sur mon vKS.

Avec l’arrivée de Google Drive, j’ai a nouveau eu envie de stocker mes documents perso en ligne, d’autant plus que je dispose déjà chez Google d’un forfait de stockage de 20 Go, aux anciennes conditions tarifaires (va falloir que je le conserve bien précieusement celui là…). Je me suis donc remis en quête d’une solution de chiffrement avec principalement deux critères de recherche :

  • pas de conteneur monolithique,
  • fonctionnant au minimum sous Windows et Android, de préférence aussi sous Linux et Mac OS X.

J’ai finalement trouvé mon bonheur avec deux produits compatibles entre eux : BoxCryptor sous Windows et Android, et EncFS sous Linux et Mac OS X (existe aussi sous Windows, BoxCryptor en est en fait une implémentation avec un frontend graphique). EncFS est un système de fichier chiffré open-source qui fonctionne sans conteneur monolithique. Le conteneur est en fait simplement un répertoire, qui va contenir toute l’arborescence du système de fichier chiffré, avec des noms de fichiers et de répertoires chiffrés également. Un fichier de 42 Ko dans le système de fichier chiffré donnera donc un fichier de 42 Ko sur le système de fichier support, un répertoire contenant 3 fichiers donnera un répertoire contenant 3 fichiers, etc… Ainsi, une modification sur un fichier n’entrainera que l’upload de ce fichier modifié.

BoxCryptor

Sous Windows, BoxCryptor fournit une interface graphique permettant de créer et de monter un lecteur virtuel utilisant le système de fichier EncFS, en utilisant n’importe quel répertoire comme conteneur. Il suffit donc de le faire pointer vers un répertoire synchronisé avec Google Drive. Dans sa version gratuite, il est limité à un seul système de fichier EncFS monté à la fois, avec un maximum de 2 Go par système de fichiers, la version illimitée coûte pour sa part une trentaine d’euros. Une fois mon répertoire « Documents » chiffré avec EncFS, j’obtiens donc quelque chose comme ça sur mon disque dur, prêt à être synchronisé avec Google Drive :

Conteneur BoxCryptor

Petit détail important : vous noterez sur la capture ci-dessus la présence de deux fichiers non chiffrés. Le premier est sans importance, c’est un fichier texte indiquant simplement que le répertoire est un conteneur BoxCryptor. Ce fichier peut être supprimé.

Le second (.encfs6.xml) doit par contre être conservé TRÈS précieusement, et je ne peux que vous recommander d’en faire plusieurs copies de sauvegarde. Ce fichier contient en effet la clé de chiffrement du volume EncFS (elle même chiffrée avec le mot de passe utilisateur). S’il est perdu, tout le contenu du système de fichier est définitivement perdu !

Sous Linux et Mac OS X, le volume chiffré créé avec BoxCryptor pourra être monté avec EncFS, cette fois sans restriction sur le nombre de volumes montés simultanément, ni sur leur taille.

Enfin, sous Android, l’application BoxCryptor permettra de déchiffrer les fichiers pour les manipuler avec n’importe quelle autre application sur le terminal. Elle n’est pour l’instant compatible qu’avec les conteneurs hébergés sur Dropbox, mais l’éditeur travaille actuellement à l’implémentation de Google Drive, et elle devrait arriver très rapidement 🙂

Restera ensuite à trouver une solution pour l’accès depuis le web…

Mais comme on n’est jamais assez parano, je me suis pas arrêté là 🙂 Je n’aime pas trop l’idée de laisser mes documents personnels se synchroniser tout seuls avec un service en ligne… On n’est jamais à l’abri d’un bug où d’un attaque qui effacerait certains fichiers sur le serveur, et répercuterait ensuite cet effacement sur ma machine… Outre mon backup hebdomadaire sur un disque dur externe, j’ai donc décidé de ne pas synchroniser directement mes documents. Je vais continuer à travailler sur mes documents stockés en clair sur mon disque dur, et je synchroniserais occasionnellement ces documents avec le volume EncFS de BoxCryptor.

Il me fallait donc trouver une solution de synchronisation entre les deux emplacements. Cette synchronisation doit pouvoir fonctionner dans les deux sens, pour pouvoir aussi récupérer les documents que j’aurais éventuellement modifié depuis un autre emplacement.

J’ai commencé par tester Sync Toy 2.1 de Microsoft. Mais au bout de quelques essais, j’ai constaté des comportements anormaux : fichiers présents mais vus comme supprimés, nouveaux fichiers non synchronisés… Hop, poubelle.

Quelques coups de Google plus loin, j’ai finalement trouvé une solution qui semble faire le boulot correctement et gratuitement, et, là encore, en open-source o/ : Synkron.

Synkron

Synchronisation complète, au cas par cas, avec exclusion, résolution des conflits, etc… Il fait tout ce que j’attends de lui 🙂

Un dernier point pour la fin : pourquoi pas un autre service de cloud ? Puisque l’idée de base était d’éviter les conséquences de certaines clauses du contrat d’utilisation Google, j’aurais effectivement pu me tourner vers une autre solution. Mais laquelle ? Avec Google, je dispose d’un espace de stockage de 25 Go dans Google Drive, grâce à mon forfait d’extension 20 Go, que je payais déjà pour Picasa, mais que j’étais loin d’utiliser entre temps. Avec la plupart des solutions concurrentes, j’aurais donc dû me contenter d’une capacité bien plus limitée, ou payer en plus, ce qui serait dommage alors que de l’espace est disponible dans mon compte Google. Seul hubiC pouvait faire le poids sur ce point, avec ses 25 Gp gratuits. Malheureusement, j’ai été très déçu par les performances de la synchronisation avec hubiC.

En effet, avec Google Drive, quand je copie un fichier vers mon répertoire synchronisé, l’opération de copie se fait à la vitesse de mon disque dur, et le transfert vers Google se fait ensuite en tâche de fond. Avec hubiC, l’opération de copie se fait à la vitesse de ma connexion Internet, le transfert vers OVH se faisant visiblement en direct, au lieu de se faire en tâche de fond. Très inconfortable.

Par ailleurs, même en stockant les fichiers chez un hébergeur garantissant qu’il n’ira pas en voir le contenu, je serais pas très à l’aise, et je pense que je finirais quand même par recourir au chiffrement… Et du coup, je me retrouverais dans l’impossibilité d’accéder à mes fichiers sous Android, l’application BoxCryptor n’étant pas compatible avec hubiC…

6 réflexions sur « Google Drive et vie privée : merci EncFS »

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.