IT — 13 février 2018

Sécurité à grande échelle : comment Dropbox protège les données de ses utilisateurs

L’équipe de sécurité Dropbox doit protéger plus de 500 pétaoctets de données appartenant à plus de 500 millions d’utilisateurs enregistrés répartis dans plusieurs centaines de milliers d’entreprises. Pour sécuriser des données à cette échelle, l’équipe doit disposer de ressources suffisantes et être en mesure d’anticiper la croissance de la plateforme Dropbox. Nous prenons soin de faire évoluer notre propre système afin de démultiplier l’impact de chaque nouvel arrivant dans notre équipe.
Nous aurons l’occasion de vous expliquer plus en détail la façon dont nous atteignons nos objectifs de sécurité et quelques-uns des projets que nous avons entrepris. Nous investissons énormément dans la sécurité de Dropbox et nous avons de nombreuses équipes de sécurité secondaires que nous vous présenterons ultérieurement. Voici certains des sujets que nous aborderons :

La culture avant la formation

Se contenter d’organiser une session de formation annuelle sur la sécurité ne suffit pas. Des formations sur la sécurité sont organisées, bien entendu, mais s’arrêter là serait une erreur. L’équipe de sécurité doit communiquer régulièrement et ouvertement avec le reste de l’entreprise, et pas seulement à l’occasion du contrôle annuel. Si nous avons pu détecter de nombreuses attaques et problèmes internes de façon anticipée, c’est parce que nous entretenons une véritable culture de la sécurité. Et c’est ce partenariat avec nos employés qui permet à l’ensemble de l’entreprise de profiter de l’expertise de notre équipe.

Une communauté indépendante au service de la sécurité

Les défenses les plus efficaces sont celles qui sont régulièrement testées et améliorées. Par le passé, j’ai participé à des réunions du conseil d’administration ennuyeuses au cours desquelles on m’a demandé si nous menions des tests d’intrusion annuels, comme si une réponse affirmative à cette question suffisait à valider l’efficacité de nos systèmes de sécurité. Chaque année, nous investissons dans de nombreuses évaluations externes de notre produit : tests d’intrusion, évaluation de la sécurité des produits et exercices formels de l’équipe de sécurité. En plus de ces tests externes, nous disposons d’une équipe de sécurité interne dédiée qui effectue des exercices d’intrusion tous les jours. Et ce n’est pas tout. Nous invitons également la communauté étendue des experts de la sécurité à participer via notre programme de bug bounty (lutte contre les failles de sécurité informatique). Ce programme nous a permis de résoudre un grand nombre de bugs critiques et d’établir une relation étroite avec les chercheurs en sécurité informatique. Le programme a rencontré un grand succès et nous avons amélioré nos récompenses, qui font désormais partie des meilleures du secteur. Grâce à lui, c’est l’ensemble de la communauté des internautes qui contribue à améliorer la sécurité de nos produits.

La force de l’ingénierie

L’une des meilleures façons de faire évoluer une équipe est de rédiger du code et de développer des outils, puis de laisser les ordinateurs faire le reste. Nous utilisons des solutions d’ingénierie internes pour contrer les tentatives de violation de nos produits de différentes façons (pour déjouer les tentatives de divulgation de mot de passe par force brute, par exemple). Nous avons également recours à l’ingénierie pour répondre à nos besoins de sécurité interne. L’an passé, SecurityBot est devenu open source afin d’automatiser certains composants de notre système d’alerte interne. Pour les applications critiques pour lesquelles des outils commerciaux ne sont pas disponibles, nous n’hésitons pas à créer des substituts en open source, comme pour la surveillance des hôtes sur macOS.

En ce qui concerne l’ADN des produits, nous nous efforçons d’identifier les morceaux de code les plus sensibles et nous investissons beaucoup dans leur sécurisation. Par exemple, nous choisissons avec le plus grand soin la méthode utilisée pour hacher et chiffrer les mots de passe des utilisateurs au repos. Nous pourrions également citer la façon dont nous chiffrons les données en transit : nous ne nous contentons pas de cocher la case « SSL », nous utilisons également toute une gamme de bonnes pratiques HTTP, SSL et de cryptographie de pointe.

La sécurité en libre service

Permettre aux utilisateurs d’explorer les fonctionnalités conçues pour les aider à sécuriser eux-mêmes leurs données est un excellent moyen de sécuriser nos produits à grande échelle. Nous sommes des adeptes de la première heure de la validation en deux étapes et nous prenons en charge des facteurs très puissants comme les clés de sécurité U2F. Mais paradoxalement, introduire des méthodes d’authentification plus sophistiquées peut compliquer la récupération des comptes à grande échelle et favoriser l’augmentation du nombre de pertes d’accès au compte. Notre objectif est de renforcer la sécurité en toute simplicité. C’est la raison pour laquelle nous avons décidé d’utiliser les appareils mobiles comme option de récupération en libre accès. Et parfois, il suffit simplement de s’assurer que la technologie utilisée pour des fonctionnalités de base (comme l’évaluateur de force du mot de passe) remplit son rôle et permet aux utilisateurs de faire les bons choix qui ont un impact réel sur la sécurité.
J’ai hâte de découvrir ce que l’équipe nous réserve pour 2018. Gardez un œil sur ce blog pour suivre notre travail !

Remarque : nous publions parfois des articles relatifs à des produits et fonctionnalités avant leur lancement officiel.
La date de disponibilité et les caractéristiques exactes de ces produits et fonctionnalités peuvent être différentes des informations présentées ici.
Toute décision d'achat doit tenir compte des fonctionnalités actuellement disponibles.

Faites passer le travail d’équipe à la vitesse supérieure

Essayer gratuitement pendant 30 jours