Un chercheur spécialisé dans la sécurité des données a formulé une plainte contre l'équipe développant l'utilitaire de synchronisation Dropbox. Le dossier a été déposé devant la FTC, l'autorité américaine de régulation du commerce.
Les inquiétudes relatives à la sécurité des données hébergées sur serveurs distants enflent un peu plus chaque jour. Après l'attaque subie par le Playstation Network, la fuite des données de géo-localiation chez Apple et Google ou les manigances de Facebook, c'est désormais au tour de Dropbox de répondre devant la justice. Présenté sous la forme d'un petit client compatible Windows, Mac OS X et Linux, Dropbox créé un nouveau dossier dynamique sur l'ordinateur et synchronise automatiquement en ligne l'ensemble des fichiers et sous-dossiers placés au sein de ce dernier. Ces données sont ensuite systématiquement réfléchies sur l'ensemble des machines rattachées au compte utilisateur.
La jeune pousse, qui rassemblerait aujourd'hui plus de 25 millions d'utilisateurs, est accusée de publicité mensongère et notamment au niveau de son infrastructure de sécurité. Sous la pression des utilisateurs, le 13 avril dernier la société a modifié la description de son système. Auparavant, le site promotionnel mentionnait : « tous les fichiers stockés sur Dropbox sont chiffrés (AES256) et inaccessibles sans votre mot de passe ». Depuis peu la seconde partie de cette phrase a été effacée.
En effet, lorsqu'un internaute souhaite mettre en ligne un fichier sur son espace personnel, les serveurs amorcent le lancement d'un algorithme chargé de vérifier si ce même fichier est déjà présent sur l'espace des autres membres. Si tel est le cas alors ce dernier ne sera pas mis en ligne à nouveau mais simplement mis à disposition dans le répertoire de l'internaute. Le système viserait à accélérer le processus pour l'internaute tout en optimisant l'espace de stockage sur les serveurs. Par ailleurs, les clés de chiffrement et déchiffrement ne sont pas stockées sur l'ordinateur de l'utilisateur mais sur les machines de Dropbox.
Pour cette raison la société fut également obligée de modifier un article dédié à la sécurité de son service. Plutôt que d'affirmer « les employés ne peuvent accéder aux fichiers de l'utilisateur », l'équipe a corrigé en déclarant : « il est interdit aux employés de consulter le contenu que vous stockez au sein de votre compte Dropbox ».
Le plaignant, Christopher Soghoian, estime que ces pratiques trompeuses ont permis à Dropbox d'obtenir un avantage considérable face aux services concurrents qui auraient mis en place des mécanismes de sécurité plus poussés. M. Soghoian demande à ce que les internautes souscrivant à une offre premium de Dropbox soient intégralement remboursés.