Il faut se rappeler que lorsque l'on dépose des informations sur un «nuage», elles sont stockées sur des serveurs qu'on ne maîtrise pas. Même si on a une entière confiance envers le gestionnaire d'un serveur de «nuage», ce dernier est par définition ouvert sur l'internet donc pas totalement à l'abri d'une intrusion mal intentionnée en vue de récupérer des données (et, rappel, sur un autre plan il faut aussi envisager l'intrusion ou le problème technique qui détruit des données qui seront instantanément synchronisées, d'où l'importance de sauvegardes).

Et dans le cas d'un «nuage» qui n'est pas maîtrisé par des structures de confiance, le chiffrement devient indispensable sauf à considérer que ce sont des données publiques (c'est à dire utilisables par des algorithmes de marketing ciblé, pour alimenter des intelligences artificielles ou pour de l'«intelligence» économique ou politique si ce n'est des intentions malveillantes).

Le but de ce document est juste de donner quelques pistes et principes, de nombreuses autres solutions sont évidemment possibles.

Dans ce document on examine deux cas d'utilisation d'un «nuage» et aussi le chiffrement de support amovible :

1. Envoyer un ensemble de fichiers par courriel
2. Partager un espace de travail entre plusieurs utilisateurs/machines
3. Chiffrer un support amovible pour éviter les problèmes en cas de perte/vol.

Dans tous les cas il y a un secret à partager (phrase de passe pour le chiffrement/déchiffrement) en utilisant un moyen de communication fiable,sécurisé et différent de celui utilisé pour les données…

Il faut également que les outils de chiffrement/déchiffrement soient communs à tous les utilisateurs concernés. Les exemples de ce document sont choisis pour proposer des outils libres et multi plate-formes.

Les solutions présentées ici sont d'un niveau minimal de sécurité à utiliser pour des informations “ordinaires”, c'est à dire celles qui ne sont pas publiques. Elles permettent d'augmenter la confidentialité des échanges. À plus forte raison si ces derniers doivent avoir lieu sur un service de «nuage» que vous ne maîtrisez pas… Et dans le cas d'informations professionnelles plus particulièrement “sensibles” demander conseil à votre responsable de la sécurité des systèmes d'information (RSSI).

Le but est de créer une archive chiffrée contenant les informations à diffuser et de la transmettre par mail si elle est de petite taille ou par l'intermédiaire d'un stockage cloud de transfert.

Ce mode de transmission est moins «convivial» que le dossier partagé quand il s'agit de documents qui sont modifiés par les participants et évoluent séparément lors des échanges, mais il offre l'avantage d'une sauvegarde des états successifs si on prend la peine de nommer les archives avec un numéro/date de version.

• Créer une archive 7-zip chiffrée :
  • le plus simple mais 7zip n'est pas disponible sous tous les systèmes (macOS Silicon notamment)
  • crée un fichier archive (*.7z) qui est compressé et de taille optimisée.
  • il faudra extraire les fichiers pour pouvoir travailler.
• Créer un petit fichier container veracrypt :
  • il faut bien évaluer la taille du container pour qu'il contienne les documents sans être trop volumineux pour le transfert.
  • le container monté sera vu comme un disque, il est donc possible de travailler sans extraire les fichiers.
  • le container sera de taille fixe, les fichiers ne seront pas compressés, la taille occupée sera plus importante.

La mise en pièce jointe ne sera possible que si le conteneur choisi est de petite taille. Il vaut mieux dans tous les cas passer par un dépôt sur un «nuage» de confiance et transmettre un lien de récupération.

Une extension de Thunderbird pour les «nuages» de type NextCloud : “*cloud - FileLink for Nextcloud and ownCloud” (rechercher “*cloud” dans le gestionnaire d'extensions).

Une fois la connexion avec votre compte Nextcloud mise en place, l'extension proposera de télécharger sur le cloud les pièces jointes dans vos messages.

Avantages :

• Si vous envoyez une pièce jointe à un grand nombre de personnes, seules celles qui sont intéressées téléchargeront les pièces jointes.
• vous pouvez mettre à jour les pièces jointes dans votre cloud sans changer le lien qui restera valable.
• vous pouvez supprimer les pièces jointes une fois que les destinataires en ont confirmé la réception, ce qui évite la propagation non souhaitée par les «faire-suivre» des courriels.

1. Un dossier contenant les informations chiffrées est synchronisé dans le «nuage»
2. Un logiciel de chiffrement/déchiffrement permet d'accéder à une version en clair des fichiers et sous-dossiers dans un dossier accessible.
3. Chaque fichier/dossier est chiffré séparément, seuls les éléments modifiés sont synchronisés dans le «nuage»

notes:

• L'interface web du «nuage» ne permettra de voir que les fichiers chiffrés. Seules les synchronisations de dossiers permettent le déchiffrement local et l'accès aux informations en clair.
• Il est aussi possible de mettre dans le «nuage» un container veracrypt, le problème est que ce sera l'ensemble du container qui sera synchronisé en cas de modification mineure d'un seul élément.
• La gestion des conflits de modifications n'est pas forcément facile à gérér car elle sera détéctée au niveau des logiciels de synchronisation, donc sur des noms de fichiers chiffrés. Bien définir les modalités de travail collaboratif.

Cryptomator est développé en java ce qui le rend portable sur différentes plates-formes : Linux, Windows, macOS, Android, iOS

• On suppose disposer d'un dossier partagé synchronisé sur un «nuage».

• Téléchargement sur le site : https://cryptomator.org/
• Documentation complémentaire :
  • https://docs.cryptomator.org/
  • https://github.com/cryptomator/cryptomator
  • https://docs.cryptomator.org/desktop/sync-conflicts/
• Création du dossier dans l'espace synchronisé et partagé du «nuage»
• Initialisation avec cryptomator

• SiriKali “works on Linux, macOS and Microsoft Windows Operating Systems”
• Sirikali est une interface vers des modules qui doivent être installés séparément, donc plus complexe à mettre en place mais supporte différents systèmes de chiffrement
• Sirikali permet aussi le montage sshfs qui offre l'accès à un dossier distant avec le protocole ssh.

• Créer un fichier container veracrypt sur le support ou formater la totalité du support en container veracrypt.