Page 1 sur 1

CNcloud chiffré - Chiffrement ???

Posté : dim. 20 mars 2022 11:16
par Lucas
Bonjour,

J'ai crée un espace cncloud chiffré pour tester un peu. Je mets quelques fichiers et photos.

Première étape : vérifier que le chiffrement fonctionne bien (car de base, rien ne prouve que les fichiers sont bien chiffrés sur le serveur).

Test 1 : je crée un document texte1.txt. Je crée un lien de partage (lien public) sans mot de passe. J'ouvre un autre navigateur (pour partir sur une session vierge non connectée). Le lien de partage de partage public m'affiche bien le document (comment peut-il le déchiffrer sans aucun mot de passe ?). En stocke-t'il une version en claire lorsque je crée un lien de partage ? Je reteste le lendemain sans être connecté sur un nouveau profil vierge. Surprise, le fichier s'affiche tjs en clair. C'est le fonctionnement attendu lorsqu'on partage un fichier sans mot de passe (du point de vue utilisateur) mais je m'attendais plutôt à un message du genre "erreur, le fichier n'a pu être déchiffré".

Test 2 : je change mon mot de passe cncloud via l'interface zzz.zaclys.com. De façon attendue, en me connectant sur mon espace cncloud, j'ai une notification m'informant que je dois aussi mettre à jour le mot de passe de la clef de chiffrement. Parfait, en parcourant mes fichier, je ne peux pas les télécharger et je ne peux pas ouvrir les fichiers texte (preuve que le chiffrement fonctionne bien). En revanche, dans l'interface web, les photos ne peuvent pas être téléchargées, mais elles s'affichent bien !!!! Car apparemment, l'interface affiche non pas la photo réelle mais des vignettes auto-générées (y compris une vignette à la taille réelle de l'image). Bref, le chiffrement pour les photos, ça ne semble pas très utile (surtout si les vignettes restent en clair...)

Test 3 : je suis tjs dans le cas où j'ai modifié mon mot de passe d'accès cncloud mais pas mis à jour la clef de chiffrement (donc je n'ai pas accès à mes fichiers en étant loggé, ce qui est normal et me permet de valider que le chiffrement fonctionne). Je crée un nouveau fichier texte2.txt (qui est immédiatement chiffré). Je n'arrive pas à l'ouvrir => Ok. Je crée un lien de partage public sans mot de passe de ce fichier => le lien de partage ne fonctionne pas non plus => Ok.
En revanche, le lien de partage texte1.txt du jour précédent fonctionne encore et m'affiche bien le fichier en clair !!!! (alors que je suis sur un navigateur session vierge sans jamais avoir entré le mot de passe de chiffrement. Mais via l'interface web, je n'arrive pas à ouvrir ce même fichier texte1.txt. Bref y une version claire stockée quelque part pour le partage par lien ??


C'était quelques essais qui m'amènent pas mal d'interrogations sur le fonctionnement exact du chiffrement dans cncloud.
(PS : j'ai ensuite remis mon mot de passe originel pour retrouver l'accès aux fichiers)

Re: CNcloud chiffré - Chiffrement ???

Posté : dim. 27 mars 2022 11:36
par Mathieu
Bonjour,

Je suis intéressé par la réponse qui sera apportée à Lucas.
Je me pose une question complémentaire, dans l'onglet "vie privée", il est noté que les utilisateurs zaclysAdmin et zadmin3428 ont accès à mes fichiers.

Ont-ils accès à mes fichiers "en clair", ou ont-ils accès aux fichiers cryptés (côté serveur), auquel cas ils ne sont pas réellement consultables (hors miniatures des photos comme souligné par Lucas).

À beintôt, merci pour le travail accompli!

Re: CNcloud chiffré - Chiffrement ???

Posté : lun. 28 mars 2022 09:45
par root

Re: CNcloud chiffré - Chiffrement ???

Posté : lun. 28 mars 2022 23:31
par Mathieu
Merci root,
Désolé j'avais raté cette information.

Re: CNcloud chiffré - Chiffrement ???

Posté : mar. 12 juil. 2022 14:52
par Gorom
Lucas a écrit : dim. 20 mars 2022 11:16 Bonjour,

J'ai crée un espace cncloud chiffré pour tester un peu. Je mets quelques fichiers et photos.

Première étape : vérifier que le chiffrement fonctionne bien (car de base, rien ne prouve que les fichiers sont bien chiffrés sur le serveur).

Test 1 : je crée un document texte1.txt. Je crée un lien de partage (lien public) sans mot de passe. J'ouvre un autre navigateur (pour partir sur une session vierge non connectée). Le lien de partage de partage public m'affiche bien le document (comment peut-il le déchiffrer sans aucun mot de passe ?). En stocke-t'il une version en claire lorsque je crée un lien de partage ? Je reteste le lendemain sans être connecté sur un nouveau profil vierge. Surprise, le fichier s'affiche tjs en clair. C'est le fonctionnement attendu lorsqu'on partage un fichier sans mot de passe (du point de vue utilisateur) mais je m'attendais plutôt à un message du genre "erreur, le fichier n'a pu être déchiffré".

Test 2 : je change mon mot de passe cncloud via l'interface zzz.zaclys.com. De façon attendue, en me connectant sur mon espace cncloud, j'ai une notification m'informant que je dois aussi mettre à jour le mot de passe de la clef de chiffrement. Parfait, en parcourant mes fichier, je ne peux pas les télécharger et je ne peux pas ouvrir les fichiers texte (preuve que le chiffrement fonctionne bien). En revanche, dans l'interface web, les photos ne peuvent pas être téléchargées, mais elles s'affichent bien !!!! Car apparemment, l'interface affiche non pas la photo réelle mais des vignettes auto-générées (y compris une vignette à la taille réelle de l'image). Bref, le chiffrement pour les photos, ça ne semble pas très utile (surtout si les vignettes restent en clair...)

Test 3 : je suis tjs dans le cas où j'ai modifié mon mot de passe d'accès cncloud mais pas mis à jour la clef de chiffrement (donc je n'ai pas accès à mes fichiers en étant loggé, ce qui est normal et me permet de valider que le chiffrement fonctionne). Je crée un nouveau fichier texte2.txt (qui est immédiatement chiffré). Je n'arrive pas à l'ouvrir => Ok. Je crée un lien de partage public sans mot de passe de ce fichier => le lien de partage ne fonctionne pas non plus => Ok.
En revanche, le lien de partage texte1.txt du jour précédent fonctionne encore et m'affiche bien le fichier en clair !!!! (alors que je suis sur un navigateur session vierge sans jamais avoir entré le mot de passe de chiffrement. Mais via l'interface web, je n'arrive pas à ouvrir ce même fichier texte1.txt. Bref y une version claire stockée quelque part pour le partage par lien ??


C'était quelques essais qui m'amènent pas mal d'interrogations sur le fonctionnement exact du chiffrement dans cncloud.
(PS : j'ai ensuite remis mon mot de passe originel pour retrouver l'accès aux fichiers)
Bonjour

Les tests 1 et 3 ont comme point commun le partage par lien public donc il faut peut être chercher de ce côté là chez Nextcloud.

Pour le test2 ,est ce que le cache du navigateur a été supprimé entre temps ? Je pense qu'après changement de mot de passe, il faut faire le test de la reconnexion en navigation privée.