La bonne nouvelle. Les données sont cryptées à l'aide du protocole SSL lors de leur transfert entre votre ordinateur et les serveurs iCloud. Les données sont également cryptées lorsqu'elles sont "au repos", c'est-à-dire lorsqu'elles sont stockées sur les serveurs iCloud (à quelques exceptions près, voir ci-dessous). Le cryptage est invisible, facile à utiliser et automatique (activé par défaut).
La moins bonne nouvelle. iCloud utilise le cryptage côté serveur, et non le cryptage côté client. Lorsque vous envoyez des données vers le nuage, elles sont cryptées sur votre machine avec SSL, puis décryptées sur les serveurs iCloud, et enfin re-cryptées à l'aide d'une clé de cryptage qu'Apple connaît pour le stockage. Cela signifie que les employés d'Apple ont la capacité technique de lire vos données. Il peut y avoir des contrôles procéduraux, techniques ou politiques pour rendre cela improbable, mais la capacité est là. Cela signifie que si le cloud d'Apple est compromis par un attaquant sophistiqué, celui-ci peut potentiellement accéder à toutes vos données. En d'autres termes, toute violation de données ou tout accident de la part d'Apple pourrait potentiellement exposer vos données. Cela n'est peut-être pas très probable, mais étant donné que même des entreprises respectées comme Google ont été victimes de violations, une violation ou une autre exposition des serveurs iCloud n'est pas impensable.
Les e-mails et les notes ne sont pas stockés sous forme cryptée, alors qu'ils se trouvent sur les serveurs d'Apple. Les courriels contiennent souvent des informations sensibles - par exemple, des mots de passe de comptes, des liens de réinitialisation - ce qui est un peu dangereux.
Si les forces de l'ordre demandent à Apple une copie de vos données, Apple la leur communiquera. Apple n'aura pas nécessairement besoin d'un mandat. Dans son rapport, l'EFF ne donne qu'une étoile sur quatre à Apple pour la protection des données des utilisateurs, Lorsque le gouvernement vient frapper à la porte, qui assure vos arrières ? Elle reproche à Apple de ne pas faire preuve de transparence en ce qui concerne les demandes d'accès à vos données formulées par le gouvernement et de ne pas informer les utilisateurs lorsque leurs données ont été divulguées au gouvernement.
Les risques ne se limitent pas aux demandes du gouvernement. Si vous êtes poursuivi en justice, ou si vous vous retrouvez dans un divorce litigieux, les avocats de la partie adverse pourraient assigner vos données à Apple, qui serait alors tenue de les leur divulguer. Notez que le seuil d'assignation est relativement bas : il faut avant tout que les données soient susceptibles d'être pertinentes pour l'affaire.
La sécurité de vos données sur iCloud est aussi bonne que la phrase de passe de votre identifiant Apple. Par conséquent, si vous voulez que vos données soient sécurisées, vous devez choisir une phrase de passe longue et solide. Malheureusement, certains aspects des systèmes actuels ont tendance à inciter les utilisateurs à choisir des phrases de passe courtes et faibles. Le système d'exploitation refuse de stocker cette phrase de passe dans le trousseau, ce qui vous oblige à la saisir fréquemment. Si vous utilisez un appareil iOS, vous devrez fréquemment saisir la phrase de passe de votre Apple ID (par exemple, chaque fois que vous installez ou mettez à jour une application). Étant donné que la saisie d'une phrase de passe longue et solide est très pénible sur un iPhone, de nombreux utilisateurs finissent par choisir une phrase de passe courte et médiocre par simple commodité, ce qui laisse malheureusement leurs données iCloud mal sécurisées. Ainsi, la conception actuelle peut avoir tendance à encourager de nombreux utilisateurs à utiliser un mot de passe faible, laissant leurs données en danger.
Pour en savoir plus. The Economist a un excellent argumentaire résumant les implications en matière de sécurité du stockage de vos données dans le nuage, et les différents niveaux de sécurité offerts par les différents fournisseurs. à titre de comparaison, iCloud est similaire à DropBox dans ses propriétés de sécurité, et plus faible que SpiderOak. Pour aider à comprendre pourquoi Apple a choisi cette architecture particulière, vous pouvez lire l'article du blog de Ben Adida : Le cryptage n'est pas une fatalité ; il a des répercussions importantes sur la convivialité. .
Résumé. Les pratiques de sécurité d'iCloud sont largement conformes aux pratiques courantes dans ce domaine. iCloud semble disposer d'une architecture de sécurité raisonnable et conçue par des professionnels. Bien qu'il existe certains risques de sécurité, la sécurité d'iCloud devrait être suffisante pour la plupart des gens, et les avantages pratiques d'iCloud devraient l'emporter sur les risques pour la plupart des gens.
Cependant, le stockage de vos données dans le nuage augmente le risque. Pour certains utilisateurs particulièrement sensibles - par exemple, les dossiers médicaux, les institutions financières ou d'autres entreprises possédant des données sensibles - il peut être prudent d'éviter de stocker les données les plus sensibles dans le nuage.
