Une récente mise à jour des conditions d'utilisation du service de synchronisation Dropbox n'est pas passée inaperçue et certains s'inquiètent déjà de la sécurité de leurs données.
Dans email envoyé aux utilisateurs et un billet publié sur son blog officiel, l'équipe de Dropbox annonçait la semaine dernière une modification de ses conditions d'utilisation. L'un des points particulièrement sensible de ce document concerne l'accès que se réserve Dropbox aux données de l'utilisateur (section "Your Stuff & Your Privacy"). La société explique avoir parfois besoin de notre permission pour la gestion de nos données « (par exemple, l'hébergement, l'accès public ou le partage de fichiers.) ». Ainsi en créant un compte sur Dropbox l'utilisateur accorde à la société ainsi qu'à ses partenaires pour la mise à disposition du service « des droits internationaux, exclusifs et sans royalties pour utiliser, copier distribuer ou préparer des travaux dérivés de » nos données, lesquelles pouvant être amenées à être traitées ou affichées de manière publique pour les besoins du service.
Il n'aura pas fallu longtemps pour créer un vent de panique sur Twitter, même si, plutôt que de s'octroyer les droits sur les données de ses utilisateurs, Dropbox semble davantage vouloir se protéger contre d'éventuels abus. En effet, comme le souligne sur son blog la société AgileBits, développant l'utilitaire 1Password, Dropbox ne permet pas seulement de synchroniser ses documents sur l'ensemble de ses machines mais dispose également de fonctionnalités de partage. « Lorsque vous placez un fichier au sein de votre dossier public vous demandez à Dropbox de republier celui-ci. Dropbox a effectivement besoin de votre permission pour faire cela », explique ainsi la société partenaire. Par ailleurs, c'est également Dropbox qui octroie à un particulier les droits d'accès à un dossier privé partagé.
Reste que le billet publié sur le blog de Dropbox a tout de même suscité plus de 1500 commentaires, auxquels l'équipe a répondu en clarifiant davantage la situation et en affirmant que l'utilisateur disposait toujours de ses droits de propriété sur les documents mis en ligne ou partagés. « Nous ne possédons pas vos fichiers. La licence que vous nous octroyez est très limitée. Elle nous permet simplement de mettre en place le service pour vous. Rien de plus », explique la société en ajoutant qu'il s'agit-là d'une pratique courante. Notons par exemple que Google Documents dispose d'une clause similaire (section 11.1 ), tout comme Box.net (section D, second paragraphe) ou encore Sincplicity (section "Sync files; third-party applications").
L'affaire a également remis au devant de la scène la procédure de chiffrement des données de la société. Au mois de mai nous apprenions que le chercheur Christopher Soghoian, spécialisé en sécurité avait déposé une plainte contre la jeune pousse en affirmant que les clés de chiffrement et de déchiffrement ne sont pas stockées sur l'ordinateur de l'utilisateur mais sur les machines de Dropbox. L'équipe a désormais clarifié la situation en expliquant que cette pratique est nécessaire pour le fonctionnement de certains services comme l'accès aux fichiers depuis l'interface web, ou le partage de ces derniers.
L'équipe ajoute : « mais cela ne nous pose pas de problème si vous souhaitez gérer vous-mêmes votre propre chiffrement en utilisant des produits comme TrueCrypt ». Cette solution est d'ailleurs mentionnée au sein des informations relatives à la sécurité du service.