Quand les géants du numérique défient les gouvernements

Le refus de Microsoft de fournir au gouvernement américain des emails stockés sur ses serveurs en Irlande aura probablement des conséquences sur la sécurité et la confidentialité des données d’entreprise dans le Cloud.

Quelques uns des rivaux les plus acharnés de Microsoft, dont Apple et Amazon, sont venus à la rescousse de l’éditeur dans une affaire controversée de confidentialité des données dans le Cloud, susceptible d’avoir d’importantes implications pour la sécurité du Cloud.

Ce lundi 15 décembre, Microsoft a ainsi déposé dix lettres rédigées par des entreprises technologiques, de médias, et d’associations qui soutiennent l’éditeur dans son opposition à se conformer à un mandat américain autorisant la fouille d’emails de ses clients stockés dans un centre de calcul en Irlande. Microsoft a refusé de se soumettre à ce mandat, délivré dans le cadre d’une enquête liée à la lutte contre la drogue, affirmant que le centre de calcul concerné n’était pas sous la juridiction du ministère américain de la Justice.

Le juge James Francis a réfuté cet argument, en avril dernier, avant qu’une cour de justice fédérale n’ordonne à Microsoft de fournir les emails demandés. L’éditeur a récemment fait appel de la décision et réaffirmé son engagement en faveur de la protection des données de ses clients dans le Cloud.

Les lettres de soutien ont été signées par 28 entreprises, dont Apple, Amazon, HP, Verizon, Fox News, le Washington Post, mais également l’association américaine de protection des droits civils, l’Electronic Frontier Foundation, et même la chambre du commerce américaine.

Changement de posture

Selon les observateurs de l’industrie, ce dossier illustre la manière dont Microsoft et d’autres acteurs technologiques sont passés de relations autrefois cosy avec le gouvernement américain à la défense vigoureuse des droits de leurs clients à la confidentialité.

Lors d’une conférence de presse, Brad Smith, vice-président exécutif de Microsoft en charge des affaires légales et corporate, a contesté l’argument du gouvernement américain selon lequel ces fameux emails relèvent de sa juridiction au motif que des employés de Microsoft pourraient les collecter sans aller en Irlande. En outre, selon Smith, le gouvernement américain estime que ces emails sont des « enregistrements commerciaux » et non pas des correspondances privées telles que protégées par la constitution des Etats-Unis.

« Le gouvernement américain a affirmé dans ce dossier que vos emails, lorsqu’ils sont stockés dans le Cloud et localisés dans un centre de calcul, cessent de vous appartenir exclusivement », explique ainsi Smith, ajoutant qu’ils ne sont plus alors considérés que comme « des enregistrements commerciaux d’une entreprise technologique ».

Smith explique en outre que Microsoft n’est pas opposé à l’idée de fournir ces emails à la justice américaine. Mais, selon lui, si le gouvernement américain ne peut pas se rendre à l’étranger pour faire exécuter un mandat afin d’obtenir des objets physiques, il ne devrait pas plus être autorisé à collecter des éléments numériques résidant dans un autre pays. Pour Microsoft, le ministère américain de la Justice devrait au contraire respecter les lois internationales et demander ces emails au gouvernement irlandais.

« Nous considérons qu’il s’agit d’un problème de recherche et de saisie en Irlande », estime ainsi Smith : « nous stockons des données dans un lieu physique. Et nous ne choisissons pas ce lieu au hasard. Nous le choisissons parce que c’est là que se trouve le client. »

Pour Andrew Pincus, avocat qui a déposé l’une des lettres et conseille la chambre du commerce américaine, le bénéfice du Cloud « est perdu » s’il existe un risque significatif sur les données. « Les entreprises et certainement les individus ne vont pas [mettre leurs données dans le Cloud] si cela signifie qu’ils perdent le contrôle de leurs informations propriétaires. »

Un impact sur la sécurité du Cloud

Ce dossier controversé gagne en intensité alors que Microsoft a réalisé des investissements significatifs dans le Cloud, notamment autour de la sécurité d’Azure, afin de concurrencer Amazon et ses Web Services. Le géant de Redmond a notamment lancé son anti-logiciels malveillants pour services Cloud et machines virtuelles, une extension proposée aux clients d’Azure. Il a également apporté des améliorations au service de gestion des identités et des accès de son service Cloud, Azure Active Directory.

Si les logiciels malveillants et les accès non autorisés sont les principales préoccupations en matière de sécurité du Cloud, la procédure engagée par le ministère de la Justice et les activités de surveillance de la NSA ont déplacé l’attention sur l’endroit où sont stockées les données dans le Cloud, et comment elles sont protégées.

« Au final, c’est une question de confiance », relève Smith. « Vous ne déposerez pas votre argent dans une banque si vous ne savez pas s'il s’y trouvera encore lorsque vous voudrez le retirer. Et vous ne déposerez pas vos données dans un centre de calcul opéré par une entreprise américaine si vous n’avez confiance dans qui peut ou ne peut pas y accéder ».

Durant la conférence de presse, la question a été de savoir si les utilisateurs devraient chiffrer toutes leurs communications par email, afin d’éviter ce genre de bataille légale. Pour l’heure, Microsoft ne chiffre pas automatiquement les emails, mais Outlook.com et Office 365 offrent des options de chiffrement. En outre, Microsoft a déployé l’été dernier TLS pour les communications entrantes et sortantes sur ses systèmes de messagerie d’Outlook.com, et renforcé les capacités de chiffrement pour les VM d’Azure. « Le chiffrement est clairement important », reconnaît Smith, soulignant qu’il « protège les données dans un vaste éventail de scénarios ».

Et c’est justement un défi pour les forces de l’ordre lorsque le prestataire de service hébergeant les données chiffrées ne dispose pas des clés : « les choses vont dans cette direction depuis quelques années. »

Microsoft et ses soutiens ont appelé le congrès américain et l’administration du président Obama à « engager un débat complet sur les solutions à ces questions » et à réfléchir à une législation moderne qui reflète les réalités du monde numérique.

Adapté de l’anglais.

Pour approfondir sur Sécurité du Cloud, SASE

Close