5 risques à connaître avant d’utiliser un service dans le nuage

Qu’est-ce qu’un service dans le nuage?

Si vous avez déjà utilisé Omnivox, Facebook, Google PlusTwitter, Google Docs, Google Maps, Dropbox, Box.net, Gmail, Hotmail, ou Yahoo Mail, vous avez déjà utilisé un service dans le nuage (infonuagique) – aussi appelé cloud computing.  

Un service dans le nuage est un logiciel en ligne pour lequel vous n’avez pas à vous soucier des aspects techniques tels que l’installation, les mises à jour ou les copies de sauvegarde. L’entretien et l’évolution des services sont pris en charge par le prestataire qui dans certains cas fera lui aussi appel à un ou plusieurs fournisseurs de service. Par exemple, Dropbox, stocke les fichiers de ses utilisateurs dans le service infonuagique d’Amazon: Amazon S3.

5 risques à connaître avant d’utiliser un service dans le nuage

Soyons clair, mon but ici est de conscientiser, et non d’alarmer; je suis moi-même un grand utilisateur de services dans le nuage. Également, je crois qu’ils permettront aux petites et grandes entreprises d’être plus efficaces sans avoir besoin d’engager un programmeur ou d’avoir un énorme Service informatique à l’interne. L’infonuagique permet aux compagnies de passer plus de temps à se préoccuper de la qualité du service qu’elle offre à sa clientèle.

L’infonuagique étant une notion naissante, on a tendance à oublier qu’il n’y a pas vraiment de nuages de données qui flottent au-dessus de nos têtes. Lorsqu’on confie nos données au nuage, on les confie en réalité à des êtres humains à qui on accorde notre confiance. Ils feront de leur mieux pour protéger vos données et vous assurer du meilleur service qui soit, mais cela implique tout de même les risques suivants.

Note: les exemples ci-dessous ciblent certaines compagnies, mais pourraient s’appliquer à toute autre compagnie dans le nuage.

  1. Aucune compagnie (dans le nuage ou non) n’est à l’abri des bogues et des erreurs humaines – Bien que toute compagnie informatique est consciente de l’importance de tester ses applications avant de les déployer en production, l’erreur est humaine et peut survenir. Par exemple, en juin 2011 Dropbox a introduit un bogue dans son authentification qui permettait d’accéder tout compte Dropbox sans besoin de connaitre son mot de passe. Dropbox a été prompt à minimiser les dégâts et a réagit avec transparence sur son blogue, mais cela pousse tout de même à réfléchir aux types de fichiers que l’on devrait confier ou non à ce type de service en ligne. Également, bien que ce soit la forte tendance, toute compagnie ne réagira pas avec une telle transparence. Moult raisons pourraient pousser une compagnie à ne pas divulguer ce genre de brèche de sécurité, mais il faut réaliser que cela est arrivé et arrivera à nouveau dans le futur.

  2. Vos données peuvent être accédées par des employés d’une compagnie dans le nuage – En théorie, tout employé signe un contrat de confidentialité et accède aux données d’utilisateurs que dans le cadre de leurs fonctions. Cependant, la nature humaine étant ce qu’elle est, des abus de pouvoir sont possibles. Par exemple, deux employés de Google ont été congédiés pour avoir abusé de leur privilège. L’un deux avait notamment épié les conversations téléphoniques (Google Voice) et de clavardage (Google Talk), ainsi que les contacts Gmail d’utilisateurs. 

  3. Vos données peuvent être accédées à votre insu par des instances gouvernementales – Selon l’article du Wall Street Journal Secret Orders Target Email, en raison de vieilles lois inadaptées à l’ère électronique, le gouvernement américain peut plus facilement accéder – sans mandat de perquisition – à vos courriels (hébergés en majorité par des compagnies américaines) dans le nuage (Gmail, Hotmail, Yahoo Mail, etc.) qu’à votre courrier postal. De plus, les fournisseurs ciblés sont forcés par la loi de ne pas informer l’utilisateur visé que ses données ont été transmises au gouvernement. Vous planifiez une révolution prochainement? À votre place j’éviterais d’utiliser tout service offert par une compagnie soumise aux lois américaines! Pour avoir une idée de l’ampleur de ces demandes, vous pouvez consulter le Transparency Report de Google qui offre des statistiques sur les demandes de renseignements et de suppression de contenu reçues des gouvernements à travers le monde.  

  4. Petites et grandes compagnies dans le nuage peuvent être victimes de piratage informatique  Par exemple, Google a été l’une des nombreuses compagnies à être victimes d’une attaque ultra-sophistiquée nommée Operation Aurora en 2010 qui provenait de Chine et qui avait pour but notamment d’accéder aux comptes Gmail d’activistes chinois. Plus récemment, les groupes LulzSec et Annonymous ont démontré des failles de sécurité chez de multiples compagnies et organismes, en rendant publiques des informations confidentielles sur leurs utilisateurs. Le risque d’être victime d’une attaque est une réalité qui sera toujours présente. Le seul moyen d’amoindrir les dégâts est de contrôler l’information que l’on donne et de connaître celle qui est collectée automatiquement dans le cadre du service infonuagique rendu. 

  5. Vous pourriez être victime de perte de données – Les raisons les plus communes sont:

    • le piratage par hameçonnage
    • vous utilisez toujours la même combinaison de nom d’utilisateur et mot de passe et l’un des sites où vous l’avez utilisée a été piraté;
    • ou simplement une fausse manipulation de votre part. 

    Le processus pour retrouver vos données auprès du fournisseur infonuagique peut être très long et complexe, voire tout simplement impossible. Par exemple, l’article Hacked! mentionne que plus de 1000 comptes Gmail par jour sont victimes de piratage. Selon le stratagème utilisé, certains utilisateurs retrouvent leur compte vide, sans courriel. Pour tout service infonuagique qui contient des données qui sont chères à vous ou votre entreprise, vous devriez toujours avoir une copie de sauvegarde de ces informations en votre possession afin d’assurer la continuité de vos opérations en cas de perte de données. Par exemple, dans le cas d’un compte courriel, il existe de nombreuses méthodes pour ne pas être pris au dépourvu.

Et vous, connaissez-vous d’autres risques reliés à l’utilisation de services dans le nuage?
Avez-vous déjà vécu une mésaventure avec ces services en ligne?