Cloud Sync : comment chiffrer vos données dans le « cloud » grâce à un NAS Synology

Chiffrez local
Cloud Sync : comment chiffrer vos données dans le « cloud » grâce à un NAS Synology

Les NAS récents proposent d'utiliser les services de stockage en ligne comme moyen de sauvegarde distant. Mais comment faire si vous ne voulez pas que ces derniers puissent accéder à vos données ? Synology propose une solution à travers son application Cloud Sync.

Ces derniers jours, nous nous sommes penchés sur différentes solutions open source permettant de chiffrer des données synchronisées avec des services de stockage en ligne, de CryptSync à Cryptomator en passant par Rclone Browser. Mais il existe des alternatives qui passent par une solution matérielle comme Cloud Sync de Synology.

Le chiffrement des données de votre NAS

Notez tout d'abord que Synology propose un chiffrement des données locales que l'on ne peut que vous conseiller d'activer, surtout si vous disposez d'un modèle qui le gère de manière matérielle. Une fois que cela sera fait, vous continuerez d'y accéder en clair depuis votre interface ou vos services, mais elles seront protégées afin d'éviter qu'un tiers tente d'y accéder de manière physique (en cas de vol par exemple).

L'activation s'opère au niveau des dossiers partagés accessibles depuis le panneau de configuration, lors de leur création ou via une modification (Clic droit > Modifier). Il vous suffit alors de cocher une case et d'entrer une clé de chiffrement sous la forme d'une suite de caractères de votre choix.

Ceux qui veulent aller plus loin peuvent l'utiliser avec une clé USB, qui servira d'élément physique de sécurité à travers le gestionnaire de clés accessible lui aussi depuis l'espace dédié aux dossiers partagés du panneau de configuration (Action > Gestionnaire de clés). Synology dispose d'un guide en ligne qui détaille la procédure.

Chiffrement Synology

Cloud Sync la synchronisation de vos données dans le « cloud » ...

Mais revenons à Cloud Sync. Pour être utilisée, l'application doit être installée depuis le Centre de paquets. Comme son nom l'indique, elle permet de synchroniser le NAS avec certains services en ligne comme Amazon Cloud Storage, Drive et S3, Box, Dropbox, Google Cloud Storage et Drive, Hubic, OneDrive (Business), SFR NAS Backup, un serveur WebDAV, etc. 

Mais elle dispose surtout d'une fonctionnalité utile proposée lors de la création d'une tâche de synchronisation : le chiffrement des données distantes. Ainsi, si tout est accessible en clair depuis votre NAS, ce n'est pas le cas au sein du service de stockage en ligne qui ne verra que des données chiffrées.

Pour ce faire, il faut tout d'abord créer un lien entre votre NAS et un service de stockage en ligne. Pour cela, cliquez sur le symbole « + » situé en bas à gauche de la fenêtre et sélectionnez celui de votre choix (OneDrive dans notre cas). Vous serez alors invités à vous connecter à ce service afin de donner l'autorisation d'accès à votre NAS.

Une fenêtre s'affichera ensuite afin de créer la première tâche de synchronisation. Plusieurs peuvent être mises en place pour un même service permettant de lier différents répertoires distants avec différents emplacements de votre NAS.

Une fois qu'ils seront choisis, vous pourrez décider d'opérer une synchronisation classique ou dans un seul sens, de désactiver la vérification de cohérence avancée (déconseillé) ou même d'indiquer des jours et heures pendant lesquelles la tâche doit être active ou inactive :

  • Synology Cloud Sync Chiffrement
  • Synology Cloud Sync Chiffrement
  • Synology Cloud Sync Chiffrement
  • Synology Cloud Sync Chiffrement

... avec une dose de chiffrement

C'est aussi à cet endroit que s'active le chiffrement des données, qui nécessitera d'entrer un mot de passe de chiffrement. Celui-ci sera utilisé pour générer un couple de clés publique/privée (voir notre dossier) qui pourront être utilisées en cas de problème, si vous avez besoin de déchiffrer manuellement les données à travers Cloud Sync Decryption Tool.

Lorsque la procédure sera terminée, un récapitulatif s'affichera. Vous aurez la possibilité d'éditer des paramètres avancés permettant d'exclure certains fichiers selon leur extension ou leur taille. Une fois la tâche créée vous pourrez aussi affiner les paramètres de synchronisation de chaque service en ligne en limitant par exemple le débit qu'ils peuvent utiliser, ou les jours et heures auxquels ils peuvent être accédés via la planification. 

Lorsque vos données seront synchronisées, vous pourrez y accéder normalement au sein de votre NAS ou à travers ses services comme le partage réseau, la synchronisation avec des machines tierces via Cloud Drive, etc. Seul le service de stockage en ligne qui fera office de sauvegarde distante ne verra rien des données initiales.

Ce mode de fonctionnement aura l'avantage d'être simple et permettra de disposer d'une sauvegarde distante chiffrée. Mais il ne conviendra pas forcément dans tous les cas. Notamment si vous voulez disposer d'un espace de stockage chiffré et synchronisé entre toutes vos machines, qui sera déchiffré à la demande côté client plutôt qu'à travers le NAS.

  • Synology Cloud Sync Chiffrement
  • Synology Cloud Sync Chiffrement
  • Synology Cloud Sync Chiffrement
  • Synology Cloud Sync Chiffrement
  • Synology Cloud Sync Chiffrement

À quand le chiffrement des données sur un autre NAS Synology ?

On regrettera néanmoins deux choses dans la façon de faire de Synology : outre le peu de détails donnés sur la méthode de chiffrement (basée sur AES), il n'est pas possible de l'utiliser pour masquer les noms de fichiers ou même l'architecture des dossiers qui resteront donc visibles par le service en ligne et ceux qui pourront y accéder.

Enfin, on aimerait pouvoir faire de même avec Cloud Station Server / ShareSync qui permettent de synchroniser des données entre deux NAS Synology. On pourrait ainsi utiliser celui d'un ami pour disposer d'une sauvegarde distante à laquelle il ne peut accéder, et inversement.

Une procédure qui nécessite pour le moment de mettre en place un chiffrement de manière manuelle à travers l'un des autres services que nous avons pu évoquer ou de passer par l'application HyperBackup.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

28 commentaires
Avatar de Mythe_Railleur Abonné
Avatar de Mythe_RailleurMythe_Railleur- 24/08/17 à 11:46:07

Merci pour ce tuto

 

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 24/08/17 à 11:51:23

Enfin, on aimerait pouvoir faire de même avec Cloud Station Server /
ShareSync qui permettent de synchroniser des données entre deux NAS Synology.

Il me semble que Hyper Backup répond à ce besoin (je n'ai mon NAS sous la main pour vérifier).

Avatar de KP2 Abonné
Avatar de KP2KP2- 24/08/17 à 11:55:54

Enfin, on aimerait pouvoir faire de même avec Cloud Station Server / ShareSync qui permettent de synchroniser des données entre deux NAS Synology. On pourrait ainsi utiliser celui d'un ami pour disposer d'une sauvegarde distante à laquelle il ne peut accéder, et inversement. Une procédure qui nécessite pour le moment de mettre en place un chiffrement de manière manuelle à travers l'un des autres services que nous avons pu évoquer.

L'appli de backup de Synology (Hyper Backup) permet de backuper vers un autre NAS ET de chiffrer les backups.
La synchro ShareSync ne sert pas pour faire un backup mais avoir un Syno "esclave" en cas de panne du 1er. Normalement, l'esclave est censé être sur le même réseau que le maitre voire juste a coté.

On est dans le même type de débat "backups" vs "RAID". Le RAID est là pour améliorer la disponibilité, pas pour sauvegarder. La synchro, c'est pareil.

Édité par KP2 le 24/08/2017 à 11:56
Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/08/17 à 11:57:49

Oui j'en touche un mot, même si AMHA le proposer au sein de l'application de sync comme c'est fait sur l'application de Sync Cloud serait une bonne idée :) Une backup n'est de toutes façons pas accessible de la même manière et les deux n'ont pas le même objectif. 

Par contre Syno évoque bien Share Sync pour de la synchro hors-site, le maitre/esclave est plutôt du côté de High Availability Manager je pense (mais disponible seulement sur certains modèles). 

Édité par David_L le 24/08/2017 à 12:07
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/08/17 à 12:02:32

Notez tout d'abord que Synology propose un chiffrement des données locales (...) Une fois que cela sera fait, vous continuerez d'y accéder en clair depuis votre interface ou vos services, mais elles seront protégées afin d'éviter qu'un tiers tente d'y accéder de manière physique (en cas de vol par exemple).

Du coup, si on fait un Cloud Sync "sans chiffrement", est-ce que les données sur le cloud sont en clair ? ou chiffrées deux fois ?

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/08/17 à 12:03:28

C'est un chiffrement local, donc seuls les HDD/SSD du NAS sont chiffrés :)

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/08/17 à 12:12:30

Ah, ok. Le chiffrement est local au NAS.

C'est sans doute un chiffrement au niveau du filesystem du NAS puisque la capture d'écran semble indiquer qu'on peut mettre un mot de passe pour chaque dossier partagé (et donc pas au niveau du disque dans son ensemble comme bitlocker/veracrypt).

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/08/17 à 12:23:03

Comme dit dans le papier le chiffrement est spécifique à chaque dossier partagé

Avatar de ForceRouge Abonné
Avatar de ForceRougeForceRouge- 24/08/17 à 13:46:03

127.0.0.1 a écrit :

Ah, ok. Le chiffrement est local au NAS.

C'est sans doute un chiffrement au niveau du filesystem du NAS puisque la capture d'écran semble indiquer qu'on peut mettre un mot de passe pour chaque dossier partagé (et donc pas au niveau du disque dans son ensemble comme bitlocker/veracrypt).

Tout à fait, il me semble que c'est de l'ecryptfs.

Chez le principale concurent, qnap, le chiffrement se fait au niveau du logical volume ou de la partition.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/08/17 à 13:50:30

oui, venant du monde QNAP, je suis habitué au chiffrement est au niveau du volume.

En cherchant le lien ci-dessus, je viens de voir que QNAP propose aussi un chiffrement au niveau du dossier partagé, mais uniquement sur les modèles à base de processeur Intel (???).

Il n'est plus possible de commenter cette actualité.
Page 1 / 3

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact