Cloudfogger : Projet arrêté, défoggez vos fichiers !

Je vous avais parlé de l’application CloudFogger dans un précédent article. Mais aussi des problèmes que j’avais rencontré récemment avec une nouvelle version de leur application.

Aujourd’hui, au démarrage de mon ordinateur, un message m’indique qu’il y a une nouvelle version de l’application. Je me dirige donc vers le site officiel (https://www.cloudfogger.com) et là, grosse surprise : l’application est stoppée par son développeur et ne sera plus disponible.

Le message qui signe ce clap de fin tient en trois paragraphes :

I/ Cloudfogger stoppé et ne sera plus disponible

The Cloudfogger project has been stopped, Cloudfogger is not available anymore.

Le message est simple et efficace : C’est fini !

Le coup est rude ! J’utilise cette application depuis plusieurs années (2012 environ). Elle est installée sur mes desktops/laptops/smartphone…

II/ Que faire de mes fichiers foggés (crypté avec Cloudfogger)

Current Cloudfogger users should re-encrypt their files with a new solution as we will also turn off our keyservers in the following weeks.

Là aussi, le conseil donné est direct : n’attendez pas pour migrer vers une autre solution, car les serveurs de clés vont disparaitre. AIE !

Pourtant, l’application fonctionne en mode « déconnecté ». J’imagine que c’est pour ne pas perdre de temps dans l’abandon de la solution, et pour éviter tout désagrément futur pour les utilisateurs actuels. Reprenez possession de vos données pendant qu’il en est encore le temps (temps de les décrypter!).

Défogger/décrypter ses fichiers est assez simple :

Si vous travaillez avec des fichiers foggé à la main (c’est à dire « clic droit » + « Fogg file(s) »), et bien il suffit de faire la méthode inverse : « clic droit » + « Defogg file(s) »
Si vous travaillez avec des répertoires entiers, il faut aller dans « status and settings », puis dans l’onglet « Services », décocher tous les répertoires. Cela va « défogger » tous vos fichiers.

Et si jamais vous lisez tout ceci trop tard ? Et bien j’espère que comme moi, vous faites une sauvegarde de vos données régulièrement, et que vous sauvegardez vos fichiers en « clair » (fichier décrypté, donc sans cloudfogger) dans un conteneur crypté (genre FreeOTFE, projet lui même arrêté depuis longtemps mais ne nécessitant pas de serveur de clé : si vous avez l’application, vous pourrez toujours accéder à vos données cryptés dans le conteneur).

III/ Une autre solution du style cloudfogger ?

Looking for an alternative? How about www.boxcryptor.com

Court et concis : on nous envoi vers le futur-ex concurrent : boxcryptor. A noter que les deux projets sont allemands, ce qui explique peut être pourquoi on nous propose que cette alternative ?

Je ne me suis pas trop penché sur boxcryptor pour le moment, mais il y a déjà quelques temps, je m’étais intéressé à cette solution. Rapidement j’avais abandonné l’idée de migrer vers elle pour une raison majeure : la version gratuite ne permet d’avoir que deux « device » (un PC et un smartphone par exemple). Pas suffisant quand on a plusieurs PCs sur lesquels il faut synchroniser des données (via le cloud) et les sécuriser (via la défunte application).

Il va donc falloir prendre une décision rapidement : trouver une autre alternative que cette alternative ‘officielle’. Ou payer la cotisation annuelle de boxcryptor pour un compte sans restriction (quelques dizaines d’euros par an).

Ou encore plus simplement, abandonner le cryptage à la volée de mon cloud. Après tout, si big brother and consors souhaite voir mes factures/BdP/et autres documents scannés : ils y arriveront, cryptage ou non, je leur fais confiance.

Je me laisse encore quelques jours de réflexions…

IV/ Après réflexion, Cloudfogger, est-ce bien raisonnable ? (MAJ du 12/09/2016)

Suite à la rédaction de la première partie (12 juillet 2016) de cette article, j’ai fait quelques tests : Cloudfogger continuera de fonctionner, même si leur serveur de clés s’arrête. En effet, les clés sont stockées en local sur votre ordinateur.

Mode opératoire du test :

Avec un PC disposant déjà de cloudfogger, je récupère le fichier contenant la clé cfogkey ( C:\Users\nom_utilisateur\AppData\Roaming\Cloudfogger\Keys ) ainsi que la base de registre ( [HKEY_CURRENT_USER\Software\Cloudfogger.com] )
Je lance une VM (machine virtuelle) avec un WinXP (par exemple), j’installe Cloudfogger 1.4.2160 (la v1.5 n’ayant jamais fonctionné chez moi) puis je ré-injecte la clé + BdR (Base de Registre)
Je fogge un fichier avec cette VM, puis je transfère le fichier foggé vers le PC ==> celui-ci peut défogger et lire le fichier.
idem dans l’autre sens.

Donc :

Lorsque les serveurs de Cloudfogger s’arrêteront, nous pourrons toujours exploiter nos données chiffrées sur nos ordinateurs.
Les clés publiques/privées sont bien stockés sur nos disques durs donc on peut les récupérer.

MAIS (Et oui, il y a toujours un MAIS) :

Quid des Apps pour Android/iOS ? Elles existent toujours sur le store mais que fera-t-on quand elles n’y seront plus (MAJ du 12/09/2016 : l’app n’est plus sur le PlayStore!). Je ne maitrise pas l’installation d’Apps via un APK, ni même l’accès en root sur les smartphones pour déposer les fichiers de configs qui vont bien.
Si vous n’avez pas sauvegardé votre clé et BdR et que vous devez formaté votre PC (si vous n’en avez pas d’autres) : Game Over !

Je m’interroge donc sur la pertinence de garder CloudFogger comme solution de chiffrement à la volée :

Comme pour certaines autres solutions de chiffrement récemment abandonnées (TrueCrypt, FreeOTFE, …), l’auteur de Cloudfogger ferme boutique du jour au lendemain sans aucune explication rationnelle (pour TrueCrypt, l’explication de façade n’avait convaincu personne, cela sentait le sabordage volontaire de la communauté de dév’ pour éviter de diffuser une version avec des portes dérobées).
Cet arrêt brutal m’a fait perdre confiance dans l’application, surtout que plusieurs MAJ s’étaient suivis récemment (m’ayant fait perdre toutes mes données. Heureusement, je pense toujours à faire un backups avant ce genre d’upgrade logiciel).
Ce type de solution à base de chiffrement, c’est bien (au moins pour notre ‘bonne’ conscience), mais ce n’est pas facile d’utilisation pour les autres personnes de votre foyer (je pense à ma femme!) qui y ont accès et qui ne sont pas informaticien(ne) (surtout sur smartphone ! Cette surcouche n’était pas user-friendly).
Et pour finir, à titre personnel, je me pose la question de l’utilité de tout cela ? Si la NSA, mon voisin, ou tout autre personnes souhaitent vraiment voir mes documents confidentiels (bulletin salaire, money, factures, etc), ils y arriveront avec l’aide de personnes compétentes.
Chiffrement à la volée (Cloudfogger), conteneur chiffré (FreeOTFE), coffre fort de MDP (Keepass) : tout cela n’est finalement peut être qu’un feu de paille pour amuser la galerie (qui peut vérifier qu’il n’y a pas un backdoor dans ces applis ? le chiffrement est-il bien un chiffrement de type AES et non pas un simple chiffrement par décalage ?).Voilà donc mon point de vue, et le pourquoi du pessimisme de l’article que j’ai publié : l’auteur de Cloudfogger nous demande de quitter le navire rapidement. En bon soldat, je m’exécute.

Depuis la première parution de cet article, j’ai donc défoggé mes données, et les ai remise en « clair » dans le cloud. Exit Cloudfogger sur nos PCs, smartphones, tablette.

Je garde quand même mes conteneurs chiffrés (pour les sauvegardes délocalisées) et ma boite à MDP, mais cela en ai fini du chiffrement à la volée… du moins pour le moment.

Il y a bien BoxCryptor mais vous l’avez vu, cela a un coût : soit restreint à un PC + un smartphone, soit payer quelques dizaines d’euros par an.

NOTA : Sinon, il y a Cloud Station (vous créez votre propre Cloud privée) sur NAS synology. Je le testerais à l’occasion sur mon Syno.

En chiffrement à la volée, je ne connais pas d’autres solutions viable.