Coffre-fort numérique : sa vie au bout d’un fil

Pour être franc avec vous, à l’origine ce billet était une tergiversation personnelle entre Amazon S3 et Dropbox, et au fil de mes réflexions, j’ai plutôt décider de vous parler un peu des coffres-forts numériques.
D’abord parce que je vois fleurir de tout et n’importe quoi sur le nain ternet, et ensuite parce que ça fait une quinzaine d’années que j’utilise ce concept. (oh oui bon ça va, je sais, je suis VIEUX !).

De plus, a l’heure de la dématérialisation à outrance (a ce propos je vous invite à lire le billet de Abavala.com : Dématérialisation de factures ), le numérique et son stockage à long terme est vraiment d’actualité.

Un coffre-fort numérique c’est quoi ?

La définition de Wikipédia est assez claire : « Un coffre-fort numérique personnel correspond à un service hautement sécurisé pour archiver facilement l’ensemble de ses fichiers numériques sensibles : documents administratifs, factures, relevés, contrats, photos, etc. Ce service peut être accessible en ligne, via Internet. »

Mon concept à moi que j’ai personnellement, s’en rapproche totalement. Stocker à très long terme (plus de 30 ans) et de manière sécurisée, des copies numériques de tout les documents accompagnant ma vie (bulletins de paye, pièces d’identitée, déclarations d’impôts, relevés bancaires, contrats divers et variés, documents administratifs…), bref tout ce qui fait votre vie de citoyen et qui vous permet d’user (et non d’abuser :p) des services de la nation (la vous pouvez vous lever  et fredonner « ta ta ta tann ta ta ta tannnn ta tanneee, ta tanne ta tanneeeee tan ta tanne ! si ca vous chante) (je sais je fait super bien la Marseillaise en phonétique 😀 ), et de pouvoir les récupérer de n’importe où avec une simple connexion au nain ternet.

Pourquoi un coffre-fort numérique ?

Il y a bien longtemps, dans une galaxie très lontaine (euh non…), au début des offres de services Internet, je me suis posé la question de la sauvegarde de ma « vie » au sens papiers du terme. Après tout, si un incendie se déclarer chez moi, un cambriolage, des groupies assoiffées de souvenirs, comment récupérer l’intégralité de toutes cette paperasse obligatoire que nous devons garder ?

L’arrivée du scanner chez le particulier (je sais là vous vous dites, « nan mais sérieux Guiguiabloc il a connu Karen Cheryl à la télé c’est pas possible ! » et bien oui :/ ), a été une révélation pour moi.

J’ai rapidement fait l’acquisition de ce bijou de technologie (sûrement au prix d’une Renault Clio aujourd’hui), pour numériser tout ce que j’avais comme papier à la maison, le chiffrer, et le stocker sur divers points de sauvegarde (officiel ou non) sur internet.

Puis est arrivé Google et Gmail et bien sur, pendant quelques temps, j’ai tout stocké chez eux (ah le gdrive :p)

Maintenant, en 2011, qu’en est-il de mon coffre-fort électronique ?

Il ne faut pas se leurrer, la grande majorité des offres sur le Nain Ternet, sont du vent.

Comment pouvez vous imaginez qu’une boite comme « HomeBubble », « Securibox » et j’en passe et des meilleurs, seront encore la dans 20 ans ?

Rien, je vous l’avoue.

Maintenant, je vous le concois, ils ont raison d’offrir ce service, mais personnellement, j’ai de grand doutes quand à leurs capacités de durée dans le temps et de garantie de l’état de mes données.

De nos jours il existe le fabuleux « Dropbox », rien à redire, c’est parfait, ca marche, et ca explose le marché.

Dropox est basé sur le service Amazon S3.

Si Amazon disparait (mouais, assez peu probable il faut l’avouer), Dropbox disparait. Si Dropbox disparait… bah Amazon est toujours la.

Pour mon coffre-fort électronique, j’utilise les deux services.

Dropbox d’abord.

C’est « user-friendly », ca marche très bien, et c’est gratuit (pour ceux qui comme moi ont opter pour le concept 2go (allez 8go aveec quelques comptes mails qui servent à rien), de stockage.

Je m’en sert pour ce qui est « non -critique » pour moi. Les factures de téléphone mobile, de fournisseur d’accès interrnet, etc.. bref tout ce qui est « perdable » et non important pour « refaire » ma vie aux Bahamas.

Par contre, pour ce que je considère comme très critique (bulletin de paye, pièces d’identités etc…) je me suis abonné a Amazon Web Services et au service S3 (la base de Dropbox aussi).

Alors je sais, vous vous dites « un particulier qui s’offre S3 ??? t’es ouf !!! » Eh ben non mon jeune padawan.

Le service Amazon S3 me coute moins cher que les offres « gros volumes » de Dropbox (normal, ce serait bête de vendre à perte…) et vous pouvez même vous offrir 1 an gratos pour tester.

Après quelques années, le service S3 me coûte en moyenne une trentaine d’euros par an (frais bancaire inclus car oui, il faut le savoir, la facturation se fait en dollars américains et pas en euros, donc votre banque peut vous ponctionner divers frais comme ils savent si bien le faire.). Si vous décidez d’être fidèle au paiement dans la monnaie verte, je vous invite fortement à discuter avec votre banquier (le mien a retirer les divers frais et je ne paye que le taux de change de la banque).

Je dois stocker une vingtaine de Go de données et je simule tout les mois une perte totale de mes données et la récupération de tout mes scans administratifs (Car oui, je dois être encore l’une des rares personnes a vraiment tester périodiquement la destruction totale de mes serveurs persos et à restaurer mes sauvegardes et mes données critiques hors site).

Concernant la confidentialité, je crypte toutes mes données avant synchronisation sur S3 avec Encfs.

Pour la synchro, j’utilise l’excellent S3cmd qui me permet par simple script bash de synchroniser mon répertoire crypté et de l’envoyer dans le cloud Amazon.

Enfin, pour l’accès administrateur a mon compte AWS (Amazon Web Service), j’ai acheté en plus un token qui me permet de m’identifier via OTP sur la console .

.Bon maintenant vous vous dites, t’es gentil Guiguiabloc, mais fait péter un peu les scripts. Dont acte.

Concernant le fonctionnement de Encfs, il existe assez de tuto la dessus pour que je passe outre (par exemple : http://pellelatarte.fr/tag/encfs/ )

Le mode « Paranaoïa » n’est pas un mal nécessaire 😉

Ne reste qu’a »monter » son répertoire crypté (S3 est le répertoire décrypté, S3_enc est crypté) :

encfs /home/guiguiabloc/S3_enc/ /home/guiguiabloc/S3

J’ai pour habitude de faire « tomber » mes documents importants scannés dans un répertoire « Maison » que je synchronise en local dans mon répertoire S3 décrypté :

rsync  -av /home/guiguiabloc/Maison/ /home/guiguiabloc/S3

Pour les synchros sur AWS S3, j’ai créer un utilisateur spécifique (qui n’a pas accès à la console AWS) et j’ai reporté sa clé et son identifiant dans la config de s3cmd :

$ more .s3cfg
[default]
access_key = LACLEDACCESS3DUUSER
acl_public = False
bucket_location = EU
debug_syncmatch = False
default_mime_type = binary/octet-stream
delete_removed = False
dry_run = False
encrypt = False
force = False
gpg_command = /usr/bin/gpg
gpg_decrypt = %(gpg_command)s -d --verbose --no-use-agent --batch --yes --passph
rase-fd %(passphrase_fd)s -o %(output_file)s %(input_file)s
gpg_encrypt = %(gpg_command)s -c --verbose --no-use-agent --batch --yes --passph
rase-fd %(passphrase_fd)s -o %(output_file)s %(input_file)s
gpg_passphrase = supermotdepasse
guess_mime_type = False
host_base = s3.amazonaws.com
host_bucket = %(bucket)s.s3.amazonaws.com
human_readable_sizes = False
preserve_attrs = True
proxy_host =
proxy_port = 0
recv_chunk = 4096
secret_key = LACLESECRETE
send_chunk = 4096
simpledb_host = sdb.amazonaws.com
use_https = True
verbosity = WARNING

Je spéficie le cloud EU pour les « buckets » (les stockages) afin d’être hébergé en Irlande pour les temps de réponse, mais vous pouvez spécifier US pour être stocker aux USA.

Enfin pour envoyer tout cela sur Amazon S3 :

s3cmd --delete-removed sync S3_enc/ s3://lesdonneesdeguigui/S3/

Prévoir la récupération :

La configuration de votre volume crypté Encfs se trouve dans le fichier .encfs6.xml dans votre répertoire crypté (S3_enc dans mon cas).

Récupérez ce fichier et stocker le en lieu sur (à la racine de votre stockage S3 accessible que par l’administrateur et sur une clé USB par exemple (rassurez vous, il faut quand même le mot de passe (ne lésinez pas sur sa sécurité !)).

Pour récupérer l’ensemble de vos données depuis un poste vierge :

mkdir S3
mkdir S3_enc
 
Configurer le .s3cfg avec la clé qui va bien.
 
Copier le s3://encfs.xml dans S3_enc/.encfs6.xml
 
Récupérer les données :
 
s3cmd sync s3://lesdonneesdeguigui/S3 S3_enc/
 
Décrypté le tout :
 
encfs /user/S3_enc/ /user/S3

Et voila, une façon sereine et plaisante de garder sa « vie » au bout d’un fil.

Soyons clair, je ne dénigre par Dropbox, je trouve même que c’est l’un des meilleurs services gratuit qui existe actuellement. Toutefois, je reste prudent quand a la continuité de son offre gratuite.
On ne fait pas de « freemium » éternellement et le coût mensuel de fonctionnement de Dropbox est hallucinant (je vous invite a lire l’excellent billet de Jean-Nicolas Reyt a ce sujet : http://reyt.net/business-model/dropbox-le-business-model-decortique-en-4-chiffres/1092 )

Après, que choisir comme offre pereine ? Je vous l’avoue, je n’ai trouvé que Amazon S3 comme sérieux (comprendre dans 10 ans, Amazon a de fortes probabilités d’exister encore). Et comme il vaut mieux s’adresser a Dieu qu’a ses saints, je prefere m’adresser au fournisseur de Dropbox.

Stocker « hors site » (comprendre pas chez soi :p) les copies numériques de tout les documents administratifs qui font notre vie et nous permettre de la reconstruire en cas de sinistre, est obligatoire. Ne pas le faire (comme ne pas s’équiper d’un système de sécurité digne de ce nom a son domicile), c’est aller au devant du « si j’avais su j’aurais fait ça.. » que tout les cambriolés ou victimes d’incendie nous sortent après leurs calvaires.
Prevoyez donc le pire et faites le bon choix (je vous déconseille les Bahamas sinon :p)

Amusez vous bien 😀

Ce billet a été posté dans domotique, geekerie et taggé , , , . Bookmark ce permalink.

25 commentaires sur “Coffre-fort numérique : sa vie au bout d’un fil

  1. Article très sympa. Il ‘faudrait’ aussi que je le fasse.. mais le temps me manque comme les 12753 projets que j’ai en tête..
    Dommage qu’il n’y ait pas plus souvent d’article ici..
    Allez hop..bookmarké !!
    S.

  2. Excellent billet, et ça fait longtemps que me mettre à s3 me titille.

    Comme toi parano sur les données, j’opte pour de la sauvegarde hors site à deux niveaux :

    – Sur disque externes, petits 2.5″, deux jeux de disques, stockés hors site, backup une fois par mois des données encombrantes à ne pas perdre (photos numériques), et bien sur des documents administratifs etc.
    – Sur s3 pour le coffre fort numérique.

    J’ai pas encore résolu de manière définitive le problème des clefs. En particulier, en plus du coffre fort numérique, je voudrais avoir une solution sure pour :
    – Stocker mes clefs d’encryption à l’abri
    – Disposer d’un stockage sur pour libérer les clefs (et ainsi mes mots de passes/documents) en cas d’accident, décès, disparition…

  3. merci pour cet article.. fort intéressant..
    Question… t’on offre AmazonS3 te revient à combien sur une année ?

  4. @Wam c’est vrai que pouvoir « transmettre » ses clés en cas de décès est une question a se poser. A part l’acte notarié comportant un jeu de clés de secours ou transmettre un token à la personne qui doit hérité des clés par exemple, bref, une reflexion de plus a avoir, tu as raison.
    @freeman une trentaine d’euros par an, ca varie (souvent moins).

  5. Comme toujours (enfin souvent) ;o), c’est un vrai plaisir de te lire, sujet que je dois creuser, merci

    (Je t’imagine fredonner la marseillaise pour écrire les tata tatta…)

  6. J’ai pas mal réfléchi à la question de la gestion des clefs.
    Le truc qui me semble être le plus « simple », si l’on peut dire, c’est :

    – Plusieurs clefs usb identiques comprenant une installation truecrypt portable, laissées à N personnes de confiance. Sur la clef, un exécutable truecrypt, un volume, et un fichier texte avec des infos.
    – Laisser à chaque personne une sous-partie de la passphrase, de manière à ce qu’un quorum suffise pour obtenir la passphrase. Par exemple, si on choisit une passphrase de 30 caractères de long pour trois personnes, laisser 1-20 à la première, 10-30 à la seconde, et 1-10,20-30 à la dernière. Ainsi, deux personnes peuvent décrypter la chose.

    Et hop, dans le volume truecrypt, tout ce qu’on veut comme instructions, scripts de récupération de données etc etc…

  7. @Wam Ah pas bête ton idée de quorum. C’est un excellent moyen de déposer ses clés ailleurs (en espérant que les personnes ne décident pas en même temps de se liguer contre toi 😀 ).

  8. Pour éviter qu’ils se liguent contre toi, il faudrait donner les clés à des personnes que tu as confiance, et qui ne se connaissent pas (si possible AUCUN lien en commun quel qui soit, mais je pense que c’est assez dur), et qui ont le moins de chance de connaître. Et après 2 possibilités :
    – Donner une liste des personnes à la personne que tu as le plus confiance et ainsi laisser les personnes se rencontrer dans une situation d’urgence ou mort.
    – Mettre la liste des noms dans le « testament » et ainsi donner la possibilité aux personnes de se rencontrer en cas de décès.

  9. D’un point de vue technique rien à redire… sauf que tout ce que tu stock n’a aucune valeur légale, c’est juste du stockage.
    Tes fiches de paies, par exemple, ne vaudront pas plus qu’une vulgaire photocopie, si tu les reconstitue par ce biais.

    Les vrais solutions de coffre numérique sont reconnues, et ton employeur, par ex, y envoie ta fiche de paie, qui est signée électroniquement par un tiers de confiance, et déposé à un endroit type la caisse des dépots.

    En fait, lorsque tu choisi un presta type « MyWonderfullCoffreEnLigne », il faut surtout regarder qui signe le doc, et qui est le presta assurant le stockage.
    Et pour ca, Amazon, ca ne vaut rien du tout.

  10. Je ne dis pas le contraire quand à la valeur légale des documents. Maintenant avant qu’une entreprise envoie ta fiche de paye sur un « coffre-fort » en le signant numériquement, y’a du chemin :p
    Et je serais intéressé que tu me donnes une offre de coffre-fort numérique offrant ce type de service

  11. Étant ignorant dans le domaine administratif, je souhaite rebondir sur « D’un point de vue technique rien à redire… sauf que tout ce que tu stock n’a aucune valeur légale, c’est juste du stockage. »

    C’est à dire ?
    on stocke les fichiers dans un lieux « sur », mais en faite, on ne pourra pas s’en resservir plus tard parce que considéré comme pas « officiel » ?

  12. Non, ce que je veux dire c’est qu’administrativement parlant un scan d’un document administratif n’a aucune valeur devant les administrations.
    Cela sert à « dépanner », pas à produire une pièce officielle (d’ou les fameuses photocopies certifiés conformes que l’on fait en mairie par exemple).
    Même une simple photocopie de ton extrait d’acte de naissance n’a aucune valeur s’il n’y a pas le tampon « certifié conforme » d’une entité administrative, ou certifier par huissier.
    Donc le scan certifié conforme, c’est pas pour demain :p

  13. Bonjour,

    pour information, la certification conforme n’est plus obligatoire (cf. http://vosdroits.service-public.fr/F1412.xhtml)pour les documents publiques, il serait peut etre intéressant de louer un serveur genre samsufi (ovh) ou dedibox (1and1) pour mettre ça en place à titre perso…

    Merci pour ton site, il est très intéressant.

  14. Merci pour cette information.
    Je ne suis pas certain que le fait de louer un serveur type kimsufi (et pas samsufi) soit la panacée pour cela. Outre le fait de devoir gérer ce serveur, il faut aussi sauvegarder ailleurs (si le disque crame sur le serveur, t’es mal).
    En plus le cout est prohibitif pour cela (180 euros/an contre 30 pour S3….).

  15. Merci pour ce tuto, cela semble vachement moins compliqué tout d’un coup

  16. Excellent article sur le sujet des coffres fort numériques, c’est vrai que c’est un problématique qui revient de plus en plus souvent. En tout cas merci pour toutes ces infos

  17. @Yohann Oui, je fais la meme chose qu’eux en rejouant les requetes de connexions en curl (si tu veux des exemples, regarde la : http://code.google.com/p/grandma/ )
    Je préfère gérer les récupérations moi-meme que de donner mes mots de passe à des sites que je ne connais.pas

    @Cerize Merci 🙂

  18. Intéressant mais pour pour moi l’upload de nos connexions est trop lent (plusieurs centaines de Go (photos, videos, papiers scannés, …)).
    Perso, j’ai fait l’acquisition d’un lecteur de bande d’occaz ( LTO 2). C’est fiable, les bandes peu cher pour 200 Go chacune et rapide).
    Je sauvegarde mes données + ceux de familles ou amis sur mon serveur. Le tout est ensuite sauvegardé sur bande (un pool de copie local + 2 pools de copie externalisés).

  19. L’upload est certe un problème mais on n’envoie pas tout d’en coup :p Personnellement les plusieurs Go stockés ont été envoyé petit à petit. Mais je suis d’accord avec toi que les débits d’upload sont trop ridicules (a quand un abonnement ADSL inversé ? (plus de up que de down 😀 )

  20. Pour info, j’ai décider d’utiliser Amazon glacier pour le stockage longue durée… Il est rare que j’ai besoin de mes fichiers importants à l’instant… Ce qui m’importe, c’est qu’il soit quelque part.

    Excellentissime également en utilisation pour l’archivage de backups par exemple… ou juste comme mirroring en cas de disaster 🙂

  21. Bonjour.
    Je remonte le sujet.
    Je n’ai aucune part chez eux mais je me pose les même questions que vous.
    Que pensez vous de ce service ?
    http://www.e-coffrefort.fr/tarifs.php
    Ils signent numériquement les documents (et donc les feuilles de paye pour répondre au post de guigui du 14092011)

    Mais bon, est ce suffisant en cas de demande de retraite dans 20 ans après un incendie de maison ?

    Bonne lecture.

  22. J’en pense la même chose que pour toutes les sociétés qui font du « coffre-fort virtuel ». La société existera-t-elle toujours dans 20 ans ?