AWS persiste : le CLOUD Act ne serait pas (vraiment) un problème

Une méthodologie éprouvée pour désamorcer le CLOUD Act

À chaque fois que les porte-parole d’AWS s’expriment sur le sujet, la structure argumentaire est identique.

La première étape de cette méthodologie consiste à rappeler que cette loi ne concerne pas uniquement les prestataires américains (opérateurs de communication, fournisseurs cloud, éditeurs de réseaux sociaux, etc.).

Le CLOUD Act s’applique de fait à toute entreprise sous juridiction américaine, qui a le contrôle des données de ses clients, et cela, peu importe leur nationalité.

« La loi concerne également les entreprises étrangères qui disposent d’une filiale aux États-Unis », insiste Tim Rain. « La justice américaine a [même] acté qu’un site d’e-commerce hébergé en Europe dont la clientèle serait en partie américaine peut être sous le joug de cette loi ».

Deuxième étape, AWS revient sur les éléments que les forces de l’ordre américaines doivent réunir pour que leur demande soit prise en compte par les juges. En clair : il n’y aurait pas « d’accès illimité » aux données.

« La loi américaine place la barre très haut pour obtenir un mandat », assure Tim Rains. « Elle exige la consultation d’un juge, qu’il y ait une relation directe entre la requête et le crime, et que la demande [d’accès aux données] soit claire, précise et proportionnelle » (lire ci-après le débat sur les Serious Crimes).

Néanmoins le texte de loi – qui amende le Stored Communication Act (SCA) – différencie deux types d’acteurs – avec des procédures différenciées. Pour le premier type, ce sont les « Communication Service Providers » : des entreprises sous juridiction américaine qui détiennent les données électroniques d’un de leurs clients depuis moins de 180 jours. Pour le deuxième type, ce sont les « Remote Computing Providers », des entreprises qui détiennent ce même type d’informations, mais depuis plus de 180 jours. Dans ce deuxième cas, la demande d’accès aux données peut être simplifiée via une assignation (« subpoena » en anglais). Cette procédure ne réclame alors plus l’intervention d’un juge, mais elle s’avère aussi plus facilement contestable.

Troisième argument clé, AWS vante son attitude proactive envers les autorités. Le fournisseur assure qu’il défend ses clients et, quand cela est possible, qu’il remet en question les demandes d’accès aux données. « Quand AWS reçoit une requête pour un accès à des données stockées en dehors du territoire américain, nous avons le droit de contester la demande et nous le faisons régulièrement », martèle Tim Rains qui ajoute qu’une équipe juridique vérifie systématiquement si la requête est conforme aux législations américaines, mais aussi à celle du pays où le client réside (dont le RGPD pour l’Europe) et aux droits des clients eux-mêmes.

« Le Département de Justice (DoJ) a clairement établi que si un membre des forces de l’ordre veut accéder à des données liées à une entreprise publique (ou cotée en bourse), il devra d’abord consulter cette entreprise » ajoute – Kimberly Herb, Conseiller juridique principal, Sécurité de l’information chez AWS. Conséquence, « quand nous sommes contactés pour traiter une requête, et à moins qu’on nous l’interdise [pour des raisons d’atteintes à la vie d’autrui ou d’urgence N.D.LR.], nous redirigeons le demandeur pour qu’il discute directement avec notre client ». Microsoft apporte une réponse similaire dans une publication de blog.

« L’année dernière (2018), nous n’avons répondu à aucune requête concernant une entreprise publique », assurait même Kimberly Herb, en juin 2019.

Cette vision du CLOUD Act, rassurante, n’empêche cependant pas certains DSI d’avoir – à tort ou à raison – une vision moins apaisée. Et certains concurrents de l’accuser d’exploiter une forme de naïveté des Européens (lire ci-après).

Une analyse de risques (volontairement ?) modérée

Pour modérer l’impact du CLOUD Act, Tim Rains – et AWS – a ensuite fait appel au concept de gestion de risques.

Pour mémoire, un risque s’évalue en combinant l’impact possible d’un événement (ses conséquences) et la probabilité que l’événement arrive.

Sur le premier facteur de l’équation, les clients européens seraient bien « au fait de l’impact possible d’un mandat. Dans certains pays, les traités d’entraide judiciaire avec les États-Unis sont appliqués depuis plus de trente ans », argumente Tim Rains. « Nous, nous pouvons les aider à évaluer la probabilité de l’occurrence d’une telle demande ».

Sur ce deuxième facteur de l’occurrence justement, le CISO EMEA ajoute que le nombre de demandes traitées tous les six mois – qu’elles soient refusées ou non – est très faible.

« Du fait de cette faible probabilité, beaucoup d’entreprises [...] décident de ne pas dépenser de ressources, pour atténuer le risque d'accès à leurs données par le gouvernement [américain]. »

D’après Tim Rains, au deuxième semestre de l’année 2019, AWS n’aurait reçu que 443 demandes alors qu’il compte plusieurs millions de clients. « Si l’on compare ce chiffre à, disons, deux millions de clients [N.D.R. : AWS ne divulgue pas le nombre exact de ses clients], la probabilité qu’un client AWS reçoive une de ses demandes ou que les autorités américaines accèdent à ces données correspond à une moins de 1 % », assure-t-il. Les entreprises auraient à gérer des risques économiques, légaux, de ressources humaines ou de cybersécurité, beaucoup plus sérieux.

« Du fait de cette faible probabilité, beaucoup d’entreprises avec qui je discute décident de ne pas dépenser de ressources pour atténuer le risque d’accès à leurs données par le gouvernement [N.D.R. : américain]. Ils doivent gérer d’autres risques en priorité ».

Là encore, une autre interprétation – principalement celle des acteurs européens – consiste à dire qu’il suffit d’une seule fois pour que l’extraterritorialité du droit américain fasse des ravages, comme l’a montré l’exemple de BNP Paribas dans un autre domaine que l’IT, avec 9 milliards de dollars d’amende à la clé.

Serious Crimes : crime ou pas crime ?

Un autre argument d’AWS – que n’a pas mentionné par Tim Rains, mais dont Kimberley Herb se fait l’écho – concerne les raisons pour lesquelles le CLOUD Act a été signé. Cette procédure vise à récolter des preuves numériques dans le cadre d’enquête pour résoudre des « Serious Crimes ».

Le texte de loi contient bien une liste de ces « crimes », mais elle n’est pas exhaustive. Le terrorisme, les fraudes fiscales « significatives », les crimes violents, l’exploitation d’enfants ou encore les activités du crime organisé sont évoqués, mais ils côtoient les actes de félonie ou d’autres motifs que ces crimes : les problématiques de sécurité nationale. Pour AWS, comme pour Microsoft, il n’y aurait cependant pas d’application possible en dehors du pénal.

Servane Augier, directrice générale déléguée chez 3DS Outscale, la filiale cloud du français Dassault Systèmes, balaie cet argument en soulignant que les notions de droit pénal ne seraient pas les mêmes aux États-Unis qu’en France.

« Le rapport Gauvain a clairement mis le doigt sur le fait que nous sommes dans un contexte de guerre économique et que les États-Unis utilisent leur arsenal judiciaire – y compris pénal – pour favoriser leurs entreprises. »

« Quand des gens vous disent que “le CLOUD Act, c’est n’importe quoi”, ils le justifient en soulignant que c’est dans un contexte […] pénal. Et ils en concluent hâtivement que leurs entreprises – ou les entreprises – ne sont pas concernées parce qu’elles ne font pas de terrorisme, pas de blanchiment d’argent, pas de “crimes”. […] Mais ça, c’est notre vision du droit pénal ».

La responsable française parle au contraire d’une forme d’instrumentalisation du droit pénal dans un contexte concurrentiel.

« Le rapport Gauvain a d’ailleurs clairement mis le doigt sur le fait qu’il fallait être vigilant, que nous sommes dans un contexte de guerre économique, et que les États-Unis utilisent tout leur arsenal judiciaire – y compris pénal – à des fins économiques, pour favoriser leurs entreprises », constate-t-elle avant de lancer que « par rapport à cela, nous [N.D.R. : les Européens] sommes aujourd’hui complètement désarmés [d’un point de vue légal]. Et naïfs ».

Chasse aux sorcières antiaméricaines ?

En septembre 2019, le Britannique Dominic Trott, directeur de recherche au sein du cabinet (américain) IDC, était invité par AWS France. Pour lui, rétorquait-il, les fournisseurs cloud européens joueraient sur cette corde sécuritaire pour tenter de gagner des parts de marché face aux leaders (américains) du marché.

Il s’agirait pour lui d’un procès d’autant plus injuste – qualifié par certains de « chasse aux sorcières » (sic) – que le chiffrement apporterait une réponse adéquate pour lever tous les doutes des clients.

Rappelons qu’avec le Stored Communication Act (qui a précédé le CLOUD Act), les autorités judiciaires américaines n’avaient pas de moyens légaux pour accéder aux clés de chiffrement. Il était donc possible qu’elles récupèrent des données, mais il était aussi possible que ces données soient illisibles pour elles. Avec le CLOUD Act, il en va théoriquement de même.

Théoriquement. Car si certains applaudissent la neutralité de la loi américaine sur le chiffrement, d’autres y voient un flou volontaire pour laisser les coudées franches aux autorités.

Régulièrement, les forces de l’ordre américaines sont d’ailleurs confrontées à ce problème. Et dans le cadre du SCA, certains organes policiers ont pris l’habitude de réclamer une clé – ou le moyen de déchiffrer les données – aux fournisseurs de services cloud ou à l’éditeur du logiciel utilisé pour ce chiffrement. Rien ne dit si la pratique sera maintenue avec l’amendement extraterritorial, même si le fournisseur et son client peuvent toujours refuser (ou tenter de refuser). De son côté, le Département de la Justice américain (DoJ) a réclamé à plusieurs reprises des moyens légaux pour accéder aux clés – comme cela est possible dans certaines conditions en France. En vain, pour l’instant.

La solution de gérer ses clés soi-même

Pour que dans tous les cas un prestataire (comme AWS) ne puisse pas donner les clés avec les données, une solution existe : qu’il n’ait pas les clés. Ce qui implique de les gérer soi-même.

Sur la question du CLOUD Act, AWS met d’ailleurs systématiquement en avant ses services de cryptologie et de gestion de clés de chiffrement comme AWS KMS. L’argument est repris en France par Stephan Hadinger, Head of Technology chez AWS.

« Si un juge nous demande d’extraire les clés d’AWS KMS, ce n’est techniquement pas possible », assure-t-il. « Le code nécessaire à l’accès aux clés n’a même pas été écrit ».

Julien Simon, Évangéliste IA et Machine Learning chez AWS, va encore plus loin dans l’assurance technique. « Si vous voulez garantir la confidentialité de vos données, utilisez KMS avec vos propres clés et cela clôt le débat techniquement ».

C’est effectivement l’une des possibilités offertes par AWS KMS. Par défaut, AWS gère les clés, mais les clients peuvent aussi le faire eux-mêmes ou déléguer cette gestion à un prestataire externe comme Thales et sa filiale Gemalto.

« Si vous voulez encore monter d’un cran, nous avons un service – Cloud HSM – qui est un service de chiffrement hardware auquel les équipes AWS n’ont aucun accès administratif, simplement un accès physique en cas de panne matérielle ».

Chez AWS, le débat semble donc clos techniquement. Même s’il a un coût supplémentaire et que le chiffrement n’est pas toujours indolore en termes de rapidité. Mais le débat juridique lui est visiblement encore sujet à interprétation, encore plus pour tous les cas où les clients ne gèrent pas eux-mêmes leurs clés.