Confidentialité du stockage infonuagique : qui peut réellement voir vos photos?

En avril 2026, la BBC a rapporté qu’un ancien ingénieur de Meta fait l’objet d’une enquête pour avoir téléchargé 30 000 photos privées de Facebook. Il a été arrêté en novembre 2025. La police métropolitaine de Londres affirme qu’il a conçu un programme pour contourner les contrôles de sécurité internes de Meta.

Meta dit avoir découvert l’incident plus d’un an avant que la nouvelle ne soit rendue publique, avoir congédié l’employé et avoir transmis l’affaire aux autorités.

C’est une réponse honnête. Ce qui mérite qu’on s’y attarde vient avant. Avant tout cela, un ingénieur de l’une des plus grandes entreprises technologiques au monde avait suffisamment d’accès interne pour bâtir un outil qui a discrètement aspiré 30 000 photos privées.

Ce n’est pas une exception. C’est ainsi que la plupart des services infonuagiques sont bâtis.

C’est le problème que nous avons cherché à rendre impossible par conception chez Abrio. Le « comment » vient plus loin dans cet article ; d’abord, pourquoi cela persiste partout ailleurs.

L’accès interne est normalisé

La plupart des services infonuagiques donnent à certains employés la capacité de lire les données des utilisateurs. Parfois pour le soutien. Parfois pour la lutte contre le pourriel et les abus. Parfois pour la conformité légale. Cet accès est censé être contrôlé par des politiques, de la formation et des journaux d’audit.

Les politiques et les journaux d’audit n’empêchent pas l’accès. Dans le meilleur des cas, ils détectent les abus une fois qu’ils ont déjà eu lieu.

Quelques exemples documentés publiquement :

• Snapchat (2019). Un outil interne nommé SnapLion, conçu à l’origine pour traiter les requêtes des forces de l’ordre, a été étendu à plusieurs équipes internes. Deux anciens employés ont raconté à Motherboard que l’outil avait servi à espionner des utilisateurs « à quelques reprises ». (Vice/Motherboard)
• Google (2010). Un ingénieur en fiabilité de site nommé David Barksdale a été congédié pour avoir accédé aux comptes de quatre mineurs, notamment les journaux d’appels Google Voice et la liste de contacts d’un garçon de 15 ans. Google a indiqué que c’était la deuxième fois qu’un employé était congédié pour ce motif. Un document interne fuité, rapporté plus tard par Vice, indiquait que des dizaines d’employés avaient été congédiés pour usage abusif des données au fil des années. (TechCrunch)
• Uber (2014–2016). Des employés ont utilisé un outil appelé « God View » pour suivre des journalistes, des célébrités et des ex-partenaires. Le bureau du procureur général de l’État de New York a conclu une entente avec Uber, exigeant des limites d’accès et l’authentification multifacteur. (CBS News)
• Meta (2025–2026). Le cas en tête de cet article.

Des entreprises différentes. Des décennies différentes. Le même schéma : une personne disposant d’un accès interne légitime l’a utilisé pour quelque chose qu’elle n’aurait pas dû faire. Les entreprises ont fini par s’en rendre compte. Les personnes dont les photos ont été regardées, pour la plupart, ne l’ont jamais su.

Pourquoi cela arrive

Quand un service stocke vos photos de telle sorte que l’entreprise peut les lire, « l’entreprise peut les lire » ne signifie pas seulement qu’un PDG approuve une demande. Cela signifie que les systèmes sont conçus de telle façon que les données sont accessibles. À partir de là, la question devient : qui, quand, et sous quels contrôles.

Même des contrôles solides laissent une fenêtre ouverte. Toute personne ayant un accès de maintenance aux systèmes de production est, en principe, quelqu’un qui pourrait lire vos photos s’il décidait d’enfreindre les règles. La seule façon de fermer cette fenêtre est de concevoir le système de telle sorte que personne, à l’intérieur de l’entreprise, n’ait les clés de chiffrement au départ.

À quoi ressemble vraiment « aucun accès interne »

Apple offre l’exemple grand public le plus net. Son réglage Protection avancée des données chiffre de bout en bout les photos d’iCloud. La documentation d’Apple elle-même affirme : « personne d’autre ne peut accéder à vos données chiffrées de bout en bout, pas même Apple ». (Apple Support)

Cette phrase est la barre à atteindre.

Le hic, c’est le réglage par défaut. La Protection avancée des données est en activation volontaire, et les estimations d’adoption la situent à moins de 10 % des utilisateurs d’iCloud. Sans elle, Apple détient les clés de chiffrement de vos photos comme tout le monde, et la même question d’accès interne s’applique. La plupart des utilisateurs d’iCloud ne l’ont jamais activée, souvent parce qu’ils ignorent qu’elle existe.

Comment Abrio gère cela

Abrio est conçu pour que nous ne puissions pas voir vos photos.

Les fichiers sont chiffrés sur votre appareil avec des clés que nous n’avons pas. Ils arrivent sur nos serveurs déjà chiffrés et le restent. Il n’y a aucun outil interne qui nous permette de les prévisualiser, aucune procédure de soutien qui les fasse remonter, aucun panneau d’administration où quelqu’un peut fouiller la photothèque d’un utilisateur. Pas parce que nous promettons de ne pas regarder. Parce que nous ne le pouvons pas.

Ce choix a ses compromis. Nous ne pouvons pas récupérer votre compte si vous perdez votre mot de passe comme peuvent le faire les services qui détiennent les clés. Nous échangeons un peu de confort contre une propriété qui, pour nous, compte davantage : personne chez Abrio ne peut faire ce qu’un ingénieur de Meta a fait. Nous nous sommes mis hors du circuit, volontairement.

Les affirmations sur le chiffrement sont faciles à faire. L’affirmation plus difficile est que l’entreprise qui stocke vos photos ne peut véritablement pas les voir. C’est celle qu’il vaut la peine de vérifier avant de confier votre photothèque à qui que ce soit.

Si un service infonuagique qui élimine la question de l’accès interne par sa conception même correspond à ce que vous cherchez, inscrivez-vous à notre liste d’attente.