Depuis son entrée en vigueur en mars 2018, le Cloud Act fait frémir de nombreuses entreprises françaises. Leur hantise : que cette réglementation permette à des agences gouvernementales (CIA, NSA...) d'accéder en toute discrétion à leurs données sauvegardées dans des datacenters de fournisseurs étrangers, GAFAM en tête. Cette peur, alimentée par les craintes de membres du gouvernement aussi bien que des acteurs comme Hexatrust ou encore Outscale serait-elle en fait démesurée ? Pour tenter de répondre a cette épineuse question, AWS et IDC ont réuni la presse à l'occasion d'un point autour de la sécurité et de la conformité pour déminer le terrain et renouer la confiance des entreprises envers les clouds étrangers.
« Le Cloud Act n'est pas un outil de surveillance des agences américaines mais est juste pour les investigations criminelles », a assuré Théodore Christakis, professeur de droit international à l'Université Grenoble Alpes invité par AWS à l'occasion de ce point. « Le Cloud Act n'est pas un outil pour marchander des secrets industriels ». Entre les lignes, les entreprises n'auraient donc pas à craindre que les agences et forces de l'ordre outre Atlantique viennent fouiller dans leurs données à partir du moment où elles ne seraient en aucune façon liées, de près ou de loin, à des affaires criminelles... « Sur les 12 derniers mois, nous avons reçu 25 requêtes en provenance des forces de l'ordre américaines, la plupart visait des clients US, aucune ne concernait des organisations publiques, cotées et aucune ne visait des entreprises françaises », a par ailleurs fait savoir Stéphane Hadinger, responsable des technologies AWS, qui n'en n'a pas dit plus sur le sujet malgré notre insistance.
Les clés de chiffrement encapsulées dans un Hardware Security Module réputées inviolables
Quand bien même agences gouvernementales et forces de l'ordre américaines auraient les moyens d'accéder aux données des entreprises françaises détenues dans des clouds américains, ces dernières bénéficient d'un verrou de sécurité présenté comme quasiment inviolable. « Il n'y a pas une sorte de décodeur magique des forces de l'ordre pour déchiffrer les données avec le Cloud Act », a ainsi lancé Dominic Trott, directeur de recherche associé en sécurité européenne chez IDC. Et Stéphane Hadinger d'abonder : « On fournit à nos clients des outils pour sécuriser leurs données, le chiffrement est l'un d'entre eux [...] quand les clients chiffrent les données sur AWS on utilise des mécanismes techniques HSM (Hardware Security Module) rendant impossible l'extraction de clés. La localisation physique n'a que peu d'importance, seul le responsable sécurité pourra gérer les clés ».
Pour achever de rassurer les entreprises françaises qui regarderaient d'un oeil méfiant le fait de rendre leurs données inexploitables par un tiers juste en cochant une case dans les paramètres de leur console AWS, le fournisseur cloud américain rappelle qu'il laisse la possibilité d'externaliser la gestion des clés de chiffrement en dehors de son infrastructure. Par exemple, AWS travaille avec des partenaires dans le monde comme Thales pour déléguer la gestion de ces clés à des tiers de confiance. Or, si les fournisseurs, dans le cadre d'une requête identifiée comme légale et légitime, sont tenus de livrer les données à des agences et forces de sécurité américaines, aucune réglementation ne les contraint à les déchiffrer. « Techniquement c'est juste impossible pour nous de donner les clés », assure Stéphane Hadinger.
La vérité sur le Cloud Act étouffée ?
Alors qu'AWS - mais également les autres grands fournisseurs clouds américains dont Microsoft et Google - essaient par tous les moyens de montrer patte blanche dans leur capacité à mettre tout en oeuvre pour sécuriser les données de leurs clients, en France, certains n'hésitent pas à soulever le tapis. « Pour la première fois, nous nous sommes rendu compte que les problématiques GAFAM, leur omniprésence sur les offres de services utilisés au quotidien par les citoyens européens, pouvaient aussi poser des problèmes en termes de liberté d’expression et de pluralité. Quand certaines organisations professionnelles refusent d’évoquer le Cloud Act parce que ça peut fâcher des adhérents, ou que nous avons des tribunes faites par de grands dirigeants qui ne disent pas la réalité des choses et ont tendance à minimiser le Cloud Act, dans un mode « circulez y a rien à voir », je dis que c’est grave », avait signalé dans nos colonnes Olivier Iteanu, vice président d'Hexatrust.
Je trouve ce sujet fort inutilement compliqué et trop controversé. Je reste sceptique sur les arguments des deux côtés. En effet, les vendeurs de technologie cloud made in Europe crient au loup avec des arguments incertains et les acteurs Américains disent qu'il n'y pas vraiment de danger! N’en fait on pas un peu beaucoup et cette menace n’est elle pas exagérée par certains intérêts commerciaux? Tout d’abord on nous présente ça comme étant lié à la technologie Cloud alors que ça n’est pas directement lié à la technologie Cloud. La terminologie a existé avant les services Cloud et veut d’ailleurs dire “Clarifying Lawful Overseas Use of Data”. Si j’ai bien compris, cela concerne les données gérées par des opérateurs Américains au US et à l’étranger et peut donc tout aussi bien concerner des transactions bancaires ou tickets de communication téléphonique, donc pas que le Cloud et donc pourquoi tout à coup en faire un fromage?. Cet accord est réversible, donc les états, hors US, peuvent demander la même chose aux autorités Américaines. Il ne concernerait que des affaires criminelles avec mandat. Il s'oppose au RGPD, donc en cas de demande la loi Européenne a des arguments.....Donc si après toutes ses précautions, il arrivait qu'un juge US accède enfin à des données personnelles d'une personne présumée criminelle sur un serveur d'une machine appartenant à des Américains sur un sol français, genre un virement d’un compte bancaire d’un terroriste..., il y aura eu beaucoup, beaucoup de démarches juridiques de faite. Finalement, je vais être provocateur, n'est il pas pas mieux de mettre ses données et les encrypter avec un tiers de confiance, (comme le dit l'article), chez un acteur Américain (gros et très compétent en terme de sécurité technique et juridique) plutôt qu'un petit acteur Européen qui n'aura pas les mêmes capacités techniques, donc potentiellement plus fragile à des attaques non officielles de la NSA ou services "secrets" Européen (avec des acteurs comme l'Anssi…) ou les même capacités juridiques pour résister à des demandes plus ou moins légal d’accès à des données?
Signaler un abus