Hash MD5 de l'application cloud

Bonjour @stephane0892 et bienvenue sur la Communauté SFR d'Entraide, 
Sur vos interrogations liée à SFR Cloud, je me permets de solliciter @XavierX qui aura sans doutes quelques pistes à vous apporter. 
Je vous souhaite une bonne journée. 

Bonjour @stephane0892 

(Notez l'élégance du terme "vérolé" utilisé par les avocats de SFR qui ont rédigé ce contrat !)

Moi il ne me choque pas, je le croise assez souvent dans mon milieu professionnel (employé au même titre que infecté, corrompu, etc.)

Disons que comme le français (au contraire d'autre langues) n'aime pas trop les répétitions, après "fichier infecté" plus tôt dans le paragraphe, ce terme n'était pas malvenu, surtout que depuis désormais bien longtemps il s'est diffusé au sens figuré imagé (et pas spécialement familier, contrairement au sens propre qui est un synonyme populaire de syphilitique) synonyme de corrompu comme :

• l'atteste le wiktionnaire https://fr.wiktionary.org/wiki/v%C3%A9rol%C3%A9
• ou bien la fréquence d'apparition de ce mot dans les écrits français : on peut imaginer que le pic des années 1850 est dû à la maladie, mais depuis les années 2000, la grosse augmentation est plus vraisemblablement liée à se sens figuré dans les écrits recensés https://books.google.com/ngrams/graph?content=v%C3%A9rol%C3%A9&year_start=1800&year_end=2019&corpus=...

---

1- si le cloud SFR est sécurisé et que SFR met véritablement "en œuvre tous les moyens techniques raisonnablement envisageables afin d'assurer un hébergement sécurisé", comment quiconque pourrait-il "véroler" les fichiers qu'un client aura lui-même placé dans son espace cloud ?

---

Personnellement je ne comprends pas le passage que tu as copié dans le même sens.

Mais pour moi, "le téléchargement de ce fichier vérolé" signifie en d'autres termes (et surtout au regard du contexte donné par la phrase qui précède) : "si le client ne prend pas de précaution, ne protège pas sa propre machine, et par conséquent possède lui-même des fichiers vérolés qu'il télécharge ensuite sur le cloud de SFR, les conséquences ne sont pas de notre responsabilité".

Bref, dans ce passage, je ne comprends pas que le fichier se retrouve vérolé ultérieurement sur les systèmes de SFR, mais fourni déjà vérolé par le client.

Et donc le côté "sécurisé" de l'hébergement SFR évoqué, pour moi, c'est pour la bonne conservation des données et leur protection vis-à-vis des personnes non autorisées.

---

2- Comment SFR, agissant en tant que professionnel, peut-il prétendre mettre "en œuvre tous les moyens techniques raisonnablement envisageables afin d'assurer un hébergement sécurisé" tout en demandant à ses clients privés et non spécialistes de la sécurité sur Internet d'assurer une sécurité supérieure à celle mise en oeuvre  par SFR?

---

À mon avis cette question découle de ce que je pense être l'incompréhension du point 1.

Pour moi le point "sécurisé" promis par SFR n'est pas de retirer les virus ou corruptions éventuels de tes fichiers.sources (peut-être même ne font-ils passer aucun antivirus sur tes données... au fond, pour eux, il n'y a pas de risque, ce sont des données inertes, aucun de leurs systèmes ne va les exécuter ou se retrouver contaminé, donc la seule victime potentielle c'est toi quand tu vas les télécharger et les réutiliser : d'où la mise en garde et l'invitation à avoir un antivirus personnel.

Mais pour moi c'est bien uniquement l'hébergement qui est sécurisé comme l'écrit la phrase..

Là encore, paraphrasé en d'autres termes selon ma compréhension du paragraphe : "si tu archives dans le cloud des données vérolées toi-même, nous les hébergerons avec sécurité (elles ne seront ni piratées ni perdues), mais tu retrouveras tes données vérolés quand tu les téléchargeras... Autrement dit le cloud n'est pas un anti-virus.

---

3- comment les clients de SFR peuvent ils m'assurer que l'application cloud que vous fournissez n'est pas elle-même vérolée alors que vous ne prenez pas la peine de fournir le hash MD5 ?

---

Les clients ne peuvent pas te l'assurer 🙂

SFR lui-même en effet, pourrait fournir un hash MD5.

Cela étant, honnêtement, à partir du moment où un package d'installation (qui est le plus souvent comprimé, que ce soit pour Windows ou pour Mac) se décompresse sans erreur, c'est que la vérification de l'intégrité de l'archive s'est bien passée. La possibilité qu'un fichier archive compressé soit altéré et se décompresse sans la moindre erreur est relativement illusoire.

De ce fait, dans le scénario "catastrophe" que tu évoques ce serait :

• qu'un pirate ait corrompu et vérolé le package d'installation et déposé sa version avec virus sur le serveur SFR
• de ce fait rien ne l'empêcherai aussi de déposer la nouvelle signature MD5 et ni vu ni connu...

Honnêtement les hachages MD5 sont très utiles pour des données brutes (exemple un énorme fichier ISO représentant un disque à graver), sur lesquelles aucune autre vérification de "bonne réception" n'est facile et possible. Au contraire sur des données compressée via un algorithme qui edécompresse ensuite dans l'autre sens, cela serait d'une certaine redondance avec ses propres mécanismes internes (si par exemple on reprend l'exemple de l'image ISO mais qu'on la compresse dans un DMG "à la Mac" ou dans un fichier RAR (plus muitiplateforme) alors à la décompression il y aura des mécanisme de vérification de l'intégrité des données difficile à flouer).

Voilà pour mes propres avis, qui n'engagent que moi 😎

À+

Bonjour Ryry et merci pour votre réponse détaillée.

---

• de ce fait rien ne l'empêcherai aussi de déposer la nouvelle signature MD5 et ni vu ni connu...

---

Effectivement. Je n'avais pas pensé à ça sur le moment.

Pour ce qui est du point n°1, le cluf SFR indique bien : "la mise à disposition et/ou l'accès par téléchargement à tout fichier présent sur le Site est réalisé sous la seule responsabilité et aux seuls risques et périls du Client" (le gras est de moi), indiquant clairement que SFR fait référence au download aussi bien qu'à l'upload, ce qui suggère bel et bien que SFR ne garantit pas que les fichiers déposés sur son cloud ne seront pas infectés après y avoir été déposés et attend, de fait, de ses clients qu'ils mettent en oeuvre des moyens de protection que SFR ne met pas en oeuvre. C'est ce point qui me gêne. Maitenant, si quelqu'un de chez SFR peut me garantir que, du moment que je n'upload pas de fichiers infectés sur le cloud, je n'aurai aucun risque de downloader un virus, je m'en contenterai.

Bonjour @stephane0892 

Pour ce qui est du point n°1, le cluf SFR indique bien : " la mise à disposition et/ou l'accès par téléchargement à tout fichier présent sur le Site est réalisé sous la seule responsabilité et aux seuls risques et périls du Client" (le gras est de moi), indiquant clairement que SFR fait référence au download aussi bien qu'à l'upload, ce qui suggère bel et bien que SFR ne garantit pas que les fichiers déposés sur son cloud ne seront pas infectés après y avoir été déposés

---

Non.

Je ne comprends pas du tout ce que tu déduis du passage que tu recopies.

• OUI le sens de téléchargement du cloud vers chez toi est concerné
• NON ils ne disent, ni ne sous-entendent, que le fichier pourrait être vérolé, après ton dépôt, chez eux
  1. d'abord on peut imaginer que les risques dont ils parlent sont aussi ici de "violation de droits et des risques pénaux que tu encoures", par ta propre action de mise à disposition et ton téléchargement vers chez toi ou un autre particulier
  2. et donc selon le même raisonnement sur l'aspect "virus", rien n'exclue qu'ils expriment la même précaution sur "des fichiers infectés que toi-même aurais déposé et que tu mets à disposition ou télécharges ultérieurement".

Bref, pour moi rien dans cette phrase n'indique qu'ils sous-entendent de possibles infections chez eux.... et on peut toujours la comprendre comme l'utilisateur qui met llui-même des fichiers illicites ou infectés à disposition sur le cloud et/ou les retélécharges, s'exposant à des risques et conséquences.

Mais ce n'est que ma lecture à moi.

---

et attend, de fait, de ses clients qu'ils mettent en oeuvre des moyens de protection que SFR ne met pas en oeuvre. C'est ce point qui me gêne.

---

Je te l'ai dit, il me parait probable (voire fréquent) qu'un service de cloud ne cherche pas à déverminer tes propres fichiers : ils sont déposés sous ta propre responsabilité.

1. Leur job premier c'est d'héberger en toute sécurité (càd données non perdues, et données non accessibles à des tiers non autorisés)
2. L'absence d'antivirus automatique, ou autre déverminage, s'il n'est pas indiqué comme faisant partie du pack, n'a rien de contradictoire pour moi (réfléchis un peu aux cloud PRO et chiffrés depuis le client, de bout en bout : le client voit les données, car il a la clé, le cloud lui ne voit que des choses bruts et initerprétable et donc, à l'évidence, ne peut pas opérer d'anti)virus : est-ce un "faux cloud" pour autant... Bien au contraire, un cloud chiffré de bout en bout est même une certaine sorte de panacée très recherchée !

Comme manifestement ils conseillent fortement (via le passage recopié dans ton message précédent) quel'utilisateur s'équipe de son propre antivirus perso, on peut même imaginer que SFR ne sous-entend strictement aucun travail de passage à l'anti-virus des données hébergées.

Par contre je ne crois pas une seconde que ni la réalité, ni la théorie, des conditions d'usage du cloud expliquent ou sous-entendent comme "possible" une contamination de tes données a posteriori de ton propre dépôt.

---

C'est ce point qui me gêne.

---

Moi pas comme je l'expliquais ci-dessus.

Mais je peux comprendre ta méfiance.

---

Maitenant, si quelqu'un de chez SFR peut me garantir que, du moment que je n'upload pas de fichiers infectés sur le cloud, je n'aurai aucun risque de downloader un virus, je m'en contenterai.

---

Honnêtement, et je pense que tu t'en doutes, je crains qu'aucun salarié de SFR aille plus loin que ce disent les clauses officielles que tu as lues et fasse des promesses supplémentaires.

Tout au mieux te dira-t-il (et encore osera-t-il) que c'est cette interprétation qui est la bonne (et encore, il devrait ajouter "selon lui" car je doute encore plus fort que quelqu'un au service juridique lui confirme qu'il peut te fournir telle ou telle interprétation officiellement au nom de SFR).

D'autant plus que la garantie n'est pas possible (on ne peux pas exlure qu'un pirate prenne possession des serveurs de SFR, ou d'autres, et remplace tes fichiers par des virus... Ça s'est déjà vu sur des "serveurs" et ça se verra sans doute encore sur des "serveurs en cloud"...)

Par contre, sur le plan technique, avouons qu'on sait que cette probabilité est carrément infime sur tes données personnelles.

Après, si ton seul soucis est de bien retrouver à l'identique tes propres données après téléchargement, rien ne t'interdit tout simplement de ne pas avoir d'anti-virus (moi je n'en utilise pas depuis plus de 15 y compris sur mes machines du boulot où on nous en propose mais je fais partie de la minorité qui désactive cet antivirus) : il te suffit de chiffrer tes documents :

• seul toi peut les relire
• et donc aucune chance qu'un pirate ou un virus altère ton document sur le serveur, et lui redonne une forme invisible et fonctionnant encore via ta clé de déchiffrement.

=> évidemment c'est beaucoup plus pratique à réaliser via les solutions internes des systèmes (comme Windows ou Mac) mais sur un volume à distance qui ne permet (pas encore en tous cas) de se monter comme un simple lecteur réseau (auquel on pourrait ajouter un couche de déchiffrement facilement) alors on peut tout de même "à la main" chiffre et déchiffrer un document à chaque fois qu'on le télécharge (pénible je l'avoue, d'où moi je table sur la probabilité carrément infime qu'un pirate ou virus n'aille corrompre mes données sur le cloud).

À+