Lorsqu’il s’agit de confidentialité et de sécurité, définir un modèle de menace est important car aucune technologie ne peut être efficace à 100 %. Rester en sécurité nécessite de comprendre les menaces auxquelles vous êtes confronté et les limites de la technologie que vous utilisez.
Comment Proton Drive peut protéger vos données
Proton Drive offre un haut degré de protection dans plusieurs domaines clés.
Interception de données
Les services de Proton sont conçus pour empêcher que d’autres interceptent et déchiffrent vos communications grâce à leur utilisation du chiffrement de bout en bout, qui chiffre vos fichiers sur votre appareil et ne les déchiffre pas avant qu’ils n’atteignent leur destination finale. Cela signifie que si un attaquant accède aux flux de données entre votre appareil et nos serveurs, il ne pourra pas déchiffrer vos fichiers. Seuls vous et les personnes avec qui vous partagez vos fichiers peuvent accéder aux clés nécessaires pour déchiffrer les données. Proton Drive protège tous vos fichiers grâce au chiffrement de bout en bout.
Saisie de données
Selon la loi suisse, il est illégal pour Proton Drive de se conformer aux demandes de données d’utilisateurs qui nous sont envoyées par des pays étrangers. En principe, la Suisse refuse généralement les demandes légales des pays étrangers ayant de mauvais antécédents en matière de droits humains. Dans tous les cas, les demandes doivent se conformer aux lois suisses sur la confidentialité, qui sont parmi les plus strictes au monde. Cependant, l’utilisation du chiffrement de bout en bout par Proton Drive signifie que nous ne pouvons ni déchiffrer ni remettre vos fichiers.
Abus de données
En raison du chiffrement que nous utilisons, nous ne pouvons pas abuser de votre vie privée ni surveiller les données que vous conservez sur Proton Drive. Nous n’avons aucun moyen de lire vos données ou de les utiliser pour créer un profil sur vous à des fins publicitaires, comme le fait Google. Proton Drive n’utilise pas de publicité (même pour notre plan de stockage cloud gratuit) et n’a donc pas d’incitatif à monétiser vos données.
Fuites de données
Les fuites de données deviennent de plus en plus courantes et touchent certaines des plus grandes entreprises mondiales. Même si les serveurs de Proton Drive étaient compromis, l’utilisation du chiffrement de bout en bout signifie que vos fichiers resteront généralement en sécurité. Proton Drive ne possède pas les clés de chiffrement nécessaires pour déchiffrer vos fichiers, ce qui signifie qu’un attaquant ne peut pas les voler chez nous.
Ce que Proton Drive ne peut pas protéger
Le chiffrement sophistiqué de Proton Drive protégera vos fichiers contre la plupart des menaces, mais même lui ne peut pas garantir votre sécurité dans toutes les situations. Il est impossible de fournir une liste exhaustive de toutes les attaques potentielles, mais voici un aperçu des scénarios d’attaque que vous êtes le plus susceptible de rencontrer, en particulier si vous êtes confronté à un attaquant sophistiqué comme un acteur soutenu par un État.
Certaines attaques de type homme du milieu
Comme mentionné ci-dessus, le chiffrement de bout en bout de Proton Drive signifie qu’un adversaire ne peut pas déchiffrer les données que vous envoyez en utilisant les services de Proton. Cependant, les attaquants pourraient vous envoyer une version modifiée du site internet ou de l’application de Proton et utiliser cela pour connaître vos identifiants. Cela est connu sous le nom d’attaque de l’homme du milieu (MITM).
Heureusement, il existe plusieurs moyens de se protéger contre les attaques MITM. Proton utilise TLS pour sécuriser la livraison de notre logiciel à votre navigateur et empêcher les attaquants de manipuler notre code en cours de route. En général, une attaque MITM réussie nécessite de briser TLS, généralement en utilisant un faux certificat TLS. Proton utilise le pinning de clés chaque fois que possible pour détecter et bloquer de telles attaques.
Bien que cela rende une attaque MITM beaucoup plus difficile à réaliser, ce n’est pas impossible, en particulier si la cible ne fait pas preuve d’une bonne vigilance. Par exemple, si vous êtes trompé en téléchargeant une fausse application Proton Drive ou en vous connectant à un faux site internet Proton Drive. Dans ce cas, vous pourriez accidentellement donner vos identifiants à un attaquant, lui permettant de contourner notre chiffrement de bout en bout.
Comment vous pouvez minimiser ce risque
De nombreuses attaques MITM sont précédées par des attaques de phishing qui tentent de vous tromper en vous dirigeant vers un faux site internet ou en téléchargeant un faux programme. Heureusement, si vous faites attention, vous pouvez généralement repérer les contrefaçons.
Utilisez uniquement les clients officiels Proton Drive : Si vous vous connectez à l’application web Proton Drive, assurez-vous qu’elle provienne de drive.proton.me. Si vous téléchargez une application pour Proton Drive à l’avenir (nous lancerons des applications pour toutes les principales plateformes bientôt), assurez-vous de l’obtenir depuis proton.me/drive ou les magasins d’applications officiels. Sur Android, nous distribuons notre application mobile en dehors du Google Play Store, et si vous l’obtenez d’une autre source, assurez-vous qu’elle soit une source fiable (comme télécharger l’APK directement depuis notre site internet(nouvelle fenêtre)).
Compromission de point final – votre appareil
Notre chiffrement de bout en bout garantit que le transfert de données entre vous et la personne avec qui vous choisissez de partager vos fichiers est privé. Ni Proton ni personne d’autre ne peut lire les données transférées.
Néanmoins, si l’appareil que vous utilisez pour accéder à Proton Drive est compromis, les attaquants pourraient être en mesure d’accéder à vos fichiers. Parmi d’autres méthodes, les attaquants peuvent choisir d’enregistrer chaque frappe de clavier que vous faites sur votre appareil, leur permettant de collecter votre mot de passe et de l’utiliser pour accéder à vos fichiers déchiffrés.
Comment vous pouvez minimiser ce risque
Les attaquants ont de nombreuses façons de compromettre votre appareil. Néanmoins, vous pouvez prévenir cela en prenant les mesures de base suivantes :
- Soyez vigilant : Ne cliquez pas sur des liens suspects ou n’ouvrez pas de fichiers douteux, en particulier de personnes que vous ne connaissez pas.
- Mettez à jour vos systèmes d’exploitation : Les systèmes d’exploitation (OS) et les applications sont mis à jour après la découverte et la correction de vulnérabilités. Garder votre OS et vos applications à jour et activer les mises à jour automatiques vous protégera contre les vulnérabilités connues.
- Soyez prudent sur les réseaux wifi publics : Les réseaux wifi publics sont des opportunités pour les attaquants. Assurez-vous que votre trafic est protégé en utilisant un VPN de confiance lors de l’accès à un wifi public. Cependant, souvenez-vous que les entreprises VPN varient en qualité et en confidentialité, et de nombreux services VPN sont malveillants(nouvelle fenêtre). Proton VPN(nouvelle fenêtre) est un service VPN disponible gratuitement pour tous les utilisateurs de Proton et a été audité indépendamment pour la sécurité et la sûreté.
Compromission de point final – votre compte utilisateur
Les comptes compromis surviennent lorsque vos identifiants deviennent connus d’un attaquant. Les acteurs malveillants peuvent obtenir cette connaissance à partir de fuites de données qui leur fournissent vos mots de passe ou à la suite d’une mauvaise sécurité physique.
Chaque année, des attaquants compromettent des bases de données dans le monde entier. Cela leur permet d’apprendre les identifiants de connexion des utilisateurs individuels. Les individus qui réutilisent les mêmes mots de passe sur plusieurs services sont particulièrement vulnérables aux attaques ; si un site internet ou une application est compromis, les attaquants pourraient accéder à tous les comptes où vous avez utilisé ce mot de passe.
Comment vous pouvez minimiser ce risque
- Mots de passe : Utilisez des mots de passe différents pour chaque service que vous utilisez. Si vous n’utilisez qu’un ou deux mots de passe, la compromission de n’importe quel service pourrait permettre aux attaquants de s’introduire dans tous les autres services numériques que vous utilisez. En même temps, n’utilisez pas de mots de passe simples qui peuvent facilement être devinés, comme « 123456789 ».
- Utilisez l’authentification à deux facteurs : Proton Drive prend en charge deux types d’ authentification à deux facteurs (A2F). L’une nécessite que vous saisissiez un code à six chiffres généré par une application d’authentification sur votre smartphone à chaque connexion. Cela signifie que même si un attaquant vole votre mot de passe, il ne peut pas s’introduire dans votre compte sans accéder à votre téléphone. Proton Drive prend également en charge l’authentification à deux facteurs via des clés de sécurité pour offrir une sécurité encore plus grande à votre compte.
- Saisissez votre mot de passe lorsque vous êtes seul ou dans un lieu privé : Cela empêchera les gens de regarder par-dessus votre épaule et d’enregistrer votre mot de passe.
Ce que Proton Drive ne fournit pas
Sécurité à 100%
Bien que Proton Drive soit un système hautement sécurisé et suffisant pour la plupart des besoins de sécurité, il n’existe pas de sécurité à 100%. Des adversaires bien financés et déterminés peuvent, avec suffisamment de temps, toujours trouver des failles dans un système donné et dans la manière dont ses utilisateurs interagissent avec celui-ci.
Les acteurs étatiques disposent de divers moyens de surveillance numérique et physique qui peuvent compromettre même des systèmes sécurisés tels que Proton Drive. Pour cette raison, si vous êtes la cible d’un acteur étatique bien financé, il est important que vous adoptiez une approche de sécurité à plusieurs niveaux (comme le chiffrement de vos fichiers localement avant de les importer sur Proton Drive ou la connexion à Proton Drive uniquement via le réseau d’anonymat Tor, qui est pris en charge par le nouveau site caché de Proton).
Support pour des activités illégales
Vous ne pouvez pas utiliser Proton Drive à des fins qui sont illégales selon la loi suisse. Cela est interdit par nos conditions générales et entraînera la suspension de votre compte. Selon la loi suisse, les autorités suisses peuvent également ouvrir des enquêtes sur des comptes qui ont été utilisés à des fins illégales, et Proton est légalement obligé de répondre aux ordonnances judiciaires émises par les autorités suisses.
Comment Proton Drive protège vos données
Vous pouvez lire le modèle de sécurité et de chiffrement de Proton Drive pour en savoir plus sur la manière dont il sécurise vos données. Nous sommes confiants que le chiffrement de Proton Drive en fait le service de stockage cloud le plus sécurisé et privé disponible aujourd’hui.
Dans le cadre de notre engagement à le maintenir ainsi, Proton Drive est open source, permettant ainsi à quiconque de vérifier notre logiciel et de confirmer qu’il fonctionne comme annoncé. Enfin, tous les services de Proton subissent également des examens de sécurité indépendants par des tiers à intervalles réguliers, et Proton Drive ne fait pas exception.