[ad_1]
Avec Google Photos mettant fin à sa politique de sauvegarde de photos illimitée en novembre dernier, le marché des applications de sauvegarde et de synchronisation de photos s’est considérablement ouvert. Nous avons examiné un concurrent sérieux, Amazon Photos, en janvier, et le pigiste Alex Kretzschmar nous a présenté plusieurs alternatives auto-hébergées en juin.
Aujourd’hui, nous examinons un nouveau concurrent, Stingle Photos, qui divise la différence en proposant une application mobile FOSS qui se synchronise avec un cloud géré.
Ne fais confiance a personne
Le cryptage est sans doute la caractéristique la plus importante de Stingle Photos. Bien que l’application télécharge vos photos sur le service cloud de Stingle, les opérateurs du service ne peuvent pas regarder vos photos. C’est parce que l’application, qui s’exécute sur votre téléphone ou votre tablette, les crypte en toute sécurité à l’aide de la cryptographie au sodium.
Étant donné que les photos sont cryptées avant même de quitter votre téléphone, à l’aide d’une clé qui n’est jamais disponible pour les opérateurs de Stingle, vous êtes à l’abri des attaquants qui obtiennent un vidage de photos du cloud de Stingle. Vous êtes également à l’abri des propres opérateurs de Stingle qui vous lancent un LOVEINT ou qui se font manipuler socialement par quelqu’un avec une voix crédible qui supplie de récupérer vos photos.
Étant donné que Stingle ne peut rien faire d’utile avec les sauvegardes cloud chiffrées de vos photos, vous n’avez pas non plus à vous soucier des choses étranges qui se produisent à la suite de l’alimentation de vos photos dans des algorithmes d’apprentissage automatique. à quiconque sans votre clé privée.
Transparence
Stingle a fait tout son possible pour rendre son fonctionnement aussi clair que possible pour les utilisateurs soucieux de la sécurité et de la confidentialité. L’entreprise a publié un livre blanc détaillé décrivant ses pratiques de sécurité et donnant un excellent aperçu du fonctionnement du service. Et pour les vrais paranoïaques, l’accès au code source de l’application comble l’écart pour le reste du chemin.
Avoir accès au code source aide particulièrement à combler les lacunes potentielles dans ce que Stingle peut et ne peut pas faire avec vos photos. Étant donné que le stockage en nuage est effectivement inutile pour quiconque sauf pour l’utilisateur, cela laisse l’application mobile elle-même comme le seul endroit pour se lever à n’importe quelle chicane, avant les photos sont cryptées et envoyées dans le cloud (ou après avoir été téléchargées et décryptées).
Nous n’avons rien tenté de tel qu’un audit complet du code de l’application Stingle Photos, mais nous avons parcouru le code suffisamment loin pour avoir une bonne idée de ce qu’il fait et comment. Aucun piège flagrant n’a sauté sur nous.
Sauvegarde de clé
Par défaut, Stingle Photos télécharge une sauvegarde de la clé privée de l’utilisateur sur le cloud Stingle (qui est hébergé de manière redondante chez Digital Ocean, à l’aide de buckets Wasabi redondants). Cela permet à l’application de fonctionner sur un nouvel appareil sans que l’utilisateur n’ait à sauvegarder et restaurer manuellement et lourdement la clé privée lui-même.
Les sourcils d’utilisateurs astucieux viennent probablement de sauter à travers le toit. Si Stingle a ma clé privée, comment puis-je savoir que l’entreprise ne l’utilise pas ? La réponse est que la clé est également cryptée, avant de la regrouper et de l’envoyer vers le cloud pour la sauvegarde.
C’est un extrêmement présentation simplifiée du fonctionnement de la méthode :
- L’utilisateur crée un nouveau compte Stingle, en spécifiant un mot de passe ou une phrase secrète
- Stingle Photos hache le mot de passe ou la phrase secrète localement et télécharge le hachage vers le back-end
- Stingle Photos génère des clés publiques et privées dérivées du hachage du mot de passe de l’utilisateur
- Stingle Photos regroupe la clé publique et la clé privée, puis crypte l’ensemble à l’aide du mot de passe complet ou de la phrase secrète de l’utilisateur
- Stingle Photos télécharge le paquet de clés cryptées dans le cloud pour la sauvegarde
Nous laissons de côté une bonne partie des détails délicats, tels que des algorithmes spécifiques, des sels, etc. Les personnes intéressées et connaissant la cryptographie devraient consulter le livre blanc d’origine pour voir les éléments que nous avons ignorés au nom de la lisibilité ici .
La clé ici est que Stingle n’a jamais accès au vrai mot de passe ou à la phrase secrète de l’utilisateur – seulement un hachage de celui-ci. Étant donné que l’utilisateur s’authentifie à l’aide du hachage mais a besoin du mot de passe complet (pas seulement de son hachage) pour déchiffrer le paquet de clés, le paquet de clés peut donc être stocké à distance en toute sécurité.
Si l’utilisateur choisit ne pas pour sauvegarder l’ensemble de clés, ils doivent plutôt sauvegarder leur clé privée eux-mêmes, ce que Stingle fournit sous la forme d’une phrase secrète de 24 mots de style Diceware. Après avoir installé l’application Stingle sur un deuxième appareil, l’utilisateur devra alors importer manuellement la « phrase de sauvegarde » – qui est en réalité sa clé privée – sur le deuxième appareil.
D’un autre côté, si l’utilisateur autorise Stingle Photos à sauvegarder le paquet de clés, il n’a besoin que de son mot de passe pour accéder aux photos sur un deuxième appareil. Une fois connecté, le deuxième appareil télécharge le paquet de clés cryptées, le décrypte avec le mot de passe complet ou la phrase secrète de l’utilisateur (qui, rappelez-vous, ne quitte jamais l’appareil) et tout est instantanément prêt à fonctionner.
Stingle Photos prend également en charge l’authentification biométrique facultative. Si vous souhaitez accéder à vos photos et vidéos sauvegardées sans avoir à saisir une phrase secrète à chaque fois, vous pouvez enregistrer votre empreinte digitale et l’utiliser pour déverrouiller l’application plus rapidement.
Fonctionnalités et plateformes
Nous avons testé Stingle Photos sur deux appareils Android, un Pixel 2XL et un Huawei MediaPad M5 Pro. La prise en charge des iPhones et iPads est en cours mais n’est pas encore arrivée, ainsi que la prise en charge des PC Linux, Windows et Mac.
L’application adopte une approche très différente de celle de Google Photos, Amazon Photos ou Apple Photos. Les trois applications des géants de la technologie essaient de tout offrir sous le soleil : l’apprentissage automatique pour classer les photos et les trier dans des galeries et des albums, des services de création d’impression et de swag, etc.
Stingle Photos est austère et minimaliste en comparaison. Il importe les photos (automatiquement ou manuellement, à la discrétion de l’utilisateur), les synchronise et vous permet de les organiser en albums. C’est à peu près tout, à part les options de « partage » Android typiques qui vident directement une photo (déchiffrée) dans une autre application. Nous avons partagé, par exemple, une photo via l’application SMS Textra en appuyant sur l’icône de partage de cette photo, puis en sélectionnant un contact Textra.
Lors de l’importation de photos automatiquement ou manuellement, Stingle offre la possibilité de les supprimer après les avoir importées avec succès. Si vous activez la suppression automatique, vous vous assurez qu’un voleur de téléphone ne peut pas parcourir vos photos, même s’il déverrouille le téléphone lui-même, mais cela signifie que Stingle n’est plus une « sauvegarde ». Au lieu de cela, la suppression automatique transforme Stingle en le seul référentiel de vos photos, toutes perdues si Stingle est perdu.
Aucun client Web n’est disponible pour Stingle Photos. Donc, pour le moment, vous aurez besoin d’un appareil Android pour afficher toutes les photos stockées par Stingle. Étant donné qu’un client Web ne figure nulle part sur la feuille de route publiée de Stingle, nous prévoyons que même lorsque les clients Windows, Linux et Mac seront disponibles, vous devrez toujours installer une application pour afficher les photos, et pas seulement vous connecter à un site Web avec votre favori. navigateur.
Bien que nous ayons principalement fait référence aux photos, Stingle Photos gère les vidéos et les photos de manière interchangeable, tout comme la plupart des autres applications d’appareil photo et de sauvegarde mobiles.
Tarification du stockage en nuage
L’application Stingle Photos est gratuite, tout comme votre premier 1 Gio de stockage en nuage. Le modèle commercial de Stingle s’articule autour de ceux qui ont besoin de plus que ce premier gibioctet de stockage, ce qui, nous sommes assez confiants, signifie « tout le monde » maintenant, d’autant plus que Stingle stocke vos photos et vidéos en pleine résolution. Il n’y a même pas d’option de sous-échantillonnage avant le cryptage et le téléchargement – le média que vous stockez localement est le média que vous sauvegardez, point final.
Le premier niveau payant est de 100 Gio, pour lequel vous paierez 2,99 $ par mois, ou vous pouvez payer 29,90 $ pour un an à l’avance, vous épargnant ainsi le coût de deux mois. 300 Gio coûte 4,99 $/mois, 1 Tio coûte 11,99 $/mois et 3 TiB coûte 35,99 $/mois, avec les mêmes économies de deux mois gratuites pour les achats annuels initiaux. (Des forfaits plus importants sont également disponibles pour ceux qui en ont besoin.)
[ad_2]