Google Drive est de loin le service de stockage cloud le plus populaire au monde, avec plus de 3 milliards de personnes utilisant Google Workspace(new window) (qui inclut Google Drive, Google Calendar, Gmail et plus encore). Mais cette omniprésence a récemment suscité des inquiétudes suite à plusieurs débâcles très médiatisées concernant qui peut accéder à vos fichiers sur Google Drive, y compris Google signalant à tort un parent pour matériel abusif(new window).
Le principal problème avec Google Drive est qu’il fait un bon travail pour empêcher les attaquants externes comme les pirates d’accéder à vos fichiers, mais la sécurité devrait également signifier que personne, à part vous et ceux avec qui vous partagez un fichier, ne peut y accéder. Comme l’explique cet article, Google conserve toujours l’accès à vos fichiers et peut les partager avec des tiers, comme les forces de l’ordre, à tout moment et à votre insu.
Cela a amené des personnes à remettre en question la sécurité de Google Drive et si Google Drive est sûr. Cet article examine tout ce que vous devez savoir avant de décider d’importer un fichier sur Google Drive.
Quelle est la sécurité de Google Drive ?
Pourquoi vous pourriez ne pas vouloir utiliser Google Drive
Comment renforcer la sécurité de Google Drive ?
Utiliser Proton Drive pour stocker en toute sécurité vos fichiers dans le cloud
Qu’est-ce que Google Drive ?
Google Drive est le service de stockage cloud de Google qui est fourni avec d’autres services de votre compte Google, comme Gmail. Il inclut 15 Go de stockage gratuit (partagé entre Drive et Gmail) et fait partie intégrante du jardin clos de Google, permettant à Google de vous maintenir dans son écosystème lorsque vous créez des documents, stockez des photos ou partagez des fichiers. Google Drive est également préinstallé sur la plupart des appareils Android, ce qui signifie que de nombreuses personnes l’utilisent par défaut.
À quel point Google Drive est-il sécurisé ?
Google Drive propose plusieurs fonctionnalités de sécurité importantes pour protéger vos fichiers contre l’accès non autorisé, typiques de la plupart des services de stockage cloud.
Chiffrement des données
Lorsqu’un service chiffre votre fichier, il le passe par un algorithme qui utilise une clé de chiffrement pour transformer le texte lisible en texte chiffré, garantissant que personne ne peut le lire. Le seul moyen de lire ce fichier est de le déchiffrer en utilisant la clé de chiffrement. Le fichier restera sécurisé tant que le chiffrement est suffisamment fort pour résister aux attaques par force brute et que les attaquants n’ont pas accès à la clé de chiffrement.
En savoir plus sur le chiffrement
Google Drive chiffre vos fichiers lorsqu’ils sont en transit avec HTTPS, qui utilise un algorithme de chiffrement appelé TLS. TLS sécurise la grande majorité du trafic internet et est hautement sécurisé. S’il était vulnérable, internet tel que nous le connaissons cesserait de fonctionner.
En savoir plus sur le chiffrement TLS
Google Drive chiffre également vos fichiers lorsqu’ils sont stockés sur ses serveurs en utilisant le chiffrement à clé secrète (symétrique) AES-128. Les experts considèrent cela extrêmement sécurisé, bien qu’il existe des chiffrements symétriques plus forts (comme AES-256).
En savoir plus sur le chiffrement AES(new window)
Sécurité du compte
Google propose une authentification à deux facteurs et vous permet de voir les événements liés à la sécurité suspects (comme les tentatives de connexion à partir de nouveaux dispositifs non reconnus) pour votre compte.
L’authentification à deux facteurs (A2F) est un complément à votre mot de passe qui nécessite de fournir une deuxième vérification d’identité pour se connecter. C’est généralement avec un code à usage unique basé sur le temps d’une application sur votre téléphone ou une clé de sécurité matérielle.
Google envoie également des e-mails et des notifications pour vous alerter d’événements liés à la sécurité qu’il juge urgents.
Contrôles d’accès
Tous les fichiers dans Google Drive sont, par défaut, réglés sur le mode « privé », ce qui signifie que vous êtes le seul à pouvoir y accéder. Vous pouvez ajuster cela et partager des fichiers avec d’autres personnes, soit avec des personnes spécifiques en entrant leurs adresses e-mail, soit en rendant les fichiers publics avec un lien. Vous pouvez également désactiver les liens que vous avez partagés précédemment, bien que vous deviez disposer d’un compte professionnel ou scolaire pour utiliser les liens avec une date d’expiration(new window).
Quant au bilan de Google, considérant que Google Drive stocke des billions de fichiers, il s’en est plutôt bien sorti pour prévenir les fuites de données (la dernière grande fuite de Google remonte à 2018, lorsqu’un bug a exposé les données personnelles de plus de 50 millions d’utilisateurs de Google+(new window)).
Pourquoi vous pourriez ne pas vouloir utiliser Google Drive
Malgré les mesures de sécurité prises par Google, il existe encore plusieurs raisons valables pour lesquelles vous pourriez vous inquiéter de la sécurité et de la vie privée de vos fichiers sur Google Drive.
Google conserve toujours l’accès
Comme mentionné précédemment dans cet article, le chiffrement garde vos fichiers en sécurité tant que l’attaquant n’a jamais accès à la clé de chiffrement. Mais Google utilise un type de chiffrement symétrique qui donne à l’entreprise le contrôle des clés de chiffrement de tous les fichiers sur Google Drive, ce qui signifie que Google peut y accéder à tout moment, pour n’importe quelle raison, sans que vous le sachiez ou que vous l’autorisiez. Cela est explicitement décrit dans les conditions générales de Google. En utilisant Google Drive, vous donnez à Google la permission de scanner et potentiellement supprimer vos fichiers personnels à tout moment. Cela signifie que Google a le contrôle.
Google utilise également cet accès à vos données pour entraîner des services d’IA, comme son correcteur orthographique et ses fonctionnalités de complétion automatique. Il n’y a aucun moyen de refuser que vos données personnelles soient utilisées pour développer ces services, bien que Google affirme anonymiser les données avant de les utiliser. L’entreprise affirme également qu’elle ne vous montre pas de publicités personnalisées en fonction du contenu que vous avez dans Google Drive, Docs, Sheets, Slides ou Photos.
Le contrôle de Google sur les clés de chiffrement de vos fichiers signifie également que si un pirate réussissait à franchir les défenses de Google, il pourrait accéder à la fois à vos fichiers et à leurs clés. Ils pourraient déchiffrer et lire tous les fichiers que vous avez stockés sur Google Drive.
Il existe des moyens de chiffrer les données afin que vous, le propriétaire des données, soyez en contrôle, comme le chiffrement de bout en bout. Le chiffrement de bout en bout garantit également que les fichiers restent chiffrés même si un fournisseur de services subit une fuite de données catastrophique. Google n’implémente pas ce type de chiffrement sur aucun de ses services par défaut.
La juridiction de Google
Google a son siège aux États-Unis, ce qui signifie qu’il est soumis à certaines lois contestables sur le respect de la vie privée. La cour FISA, chargée de réviser et d’approuver les efforts de mise sur écoute et de collecte de données du gouvernement américain, n’a longtemps été guère plus qu’une formalité, la grande majorité des demandes étant approuvées. Pire encore, le Federal Bureau of Investigation (FBI) peut utiliser des lettres de sécurité nationale, essentiellement des assignations secrètes sans mandat, pour accéder à des informations et documents d’entreprises américaines sans aucun contrôle judiciaire.
De nombreux autres pays, y compris l’Islande, la Suède et la Suisse, offrent plus de transparence, une meilleure protection des droits de l’homme et un examen judiciaire contradictoire qui protègent mieux le droit des personnes à la vie privée.
Le modèle commercial de Google
Google a prouvé qu’il était un mauvais gestionnaire des données de ses utilisateurs par le passé. Bien que Google se vante de sa volonté de vous laisser désactiver la collecte de données, la réalité n’est pas si simple.
Tout d’abord, Google compte sur le fait que la plupart des gens ne modifient jamais leurs paramètres par défaut. Plus de 80 % des revenus de Google en 2022(new window) (contenu en anglais) provenaient de la publicité. Si la plupart des utilisateurs de Google activaient tous les contrôles de confidentialité de Google, leur activité s’en trouverait fortement perturbée. Dans le cadre du modèle d’entreprise capitaliste de surveillance de Google, l’entreprise est obligée de collecter et de monétiser toutes les données qu’elle peut.
Deuxièmement, Google a trompé les gens sur les mesures de protection de la vie privée supposées. Pire encore, l’entreprise n’a pas tenu compte du fait que les gens avaient activé ces fonctionnalités et a continué à collecter des données malgré tout. En 2017, des journalistes ont découvert que Google collectait les données de localisation des utilisateurs d’Android(new window) même s’ils avaient désactivé les services de localisation. Cette année, un juge a estimé que Google avait induit les utilisateurs en erreur concernant leur confidentialité lorsqu’ils utilisaient le mode navigation privée (ou mode incognito) de Chrome. Et sa nouvelle fonctionnalité de confidentialité, Privacy Sandbox, n’est rien de plus qu’une nouvelle méthode de suivi.
Il s’agit de signaux alarmants : vous devez pouvoir faire confiance à l’entreprise qui stocke vos fichiers sensibles, car elle doit être suffisamment compétente pour protéger vos informations et suffisamment honnête pour respecter vos choix en matière de protection de la vie privée.
Google relève les défis techniques, mais il est difficile de lui faire confiance en raison de sa méthode de rémunération et de son historique mitigé.
Comment renforcer la sécurité de Google Drive ?
Il y a des mesures que vous pouvez prendre pour augmenter votre sécurité lors du stockage de fichiers sur Google Drive. Comme presque tous les services en ligne, le maillon le plus faible est souvent l’élément humain. Cela signifie que vous devez toujours être vigilant face aux e-mails suspects vous demandant votre nom d’utilisateur et mot de passe Google qui pourraient être des attaques de phishing (hameçonnage).
Vous devriez également utiliser un mot de passe fort et unique pour votre compte Google et activer l’A2F (en fait, vous devriez le faire pour tous vos comptes, si possible).
Enfin, vous pouvez minimiser la capacité de Google à surveiller ou accéder aux fichiers que vous importez en chiffrant vos fichiers avant de les importer en utilisant un service de chiffrement tiers.
Utiliser Proton Drive pour stocker en toute sécurité vos fichiers dans le cloud
Heureusement, il existe des alternatives à Google Drive qui facilitent la protection de votre vie privée et de votre sécurité sans avoir à utiliser un logiciel de chiffrement tiers. Par exemple, Proton Drive utilise automatiquement le chiffrement de bout en bout sur tous vos fichiers et leurs métadonnées par défaut, ce qui signifie que personne ne peut y accéder sauf vous. Vous avez toujours le contrôle. Et vous restez en contrôle même après avoir partagé un fichier avec d’autres en limitant qui peut y accéder grâce à la protection par mot de passe.
Proton Drive va bien au-delà de Google en matière de sécurité du compte. En plus de l’A2F et des journaux d’authentification, nous proposons également notre programme de haute sécurité Proton Sentinel avec certains abonnements payants. Proton Sentinel peut reconnaître et arrêter les tentatives de connexion malveillantes, ce qui signifie que même si un attaquant obtient votre mot de passe, il y a de fortes chances qu’il ne puisse pas accéder à votre compte.
Proton Drive a son siège en Suisse, ce qui signifie que des lois strictes suisses sur la protection des données protègent toutes vos données. Mais, peut-être plus important encore, nous avons structuré notre entreprise autour de la protection de vos informations, non sur leur exploitation. Nous ne montrons aucune publicité et nous ne partageons jamais vos informations avec des entreprises qui font de la publicité ou d’autres tiers. Notre chiffrement de bout en bout signifie que nous ne pourrions pas partager vos données même si nous le voulions.
Nous sommes entièrement soutenus par les utilisateurs qui choisissent un abonnement payant, donc notre seule incitation est de garder vos données aussi sécurisées que possible. Vous pouvez vous inscrire à Proton Drive gratuitement et bénéficier de jusqu’à 5 Go d’espace de stockage sans débourser un centime, en contribuant en même temps à créer un meilleur internet.