Mercredi dernier, Microsoft a fait savoir que des données contenues dans sa suite Business Productivity Online Suite (BPOS) avaient été téléchargées par des utilisateurs non autorisés. Cette affaire pourrait faire date, et marquer le premier grand événement relatif à la violation de données dans un cloud. Selon certains, à l'avenir, ces fuites accidentelles risquent fort de se multiplier. Jusqu'à devenir banales. Et d'espérer pour chacun de ne pas en être une victime.
On pourrait, par réflexe, blâmer d'office les pirates. Mais ce n'est pas ce qui s'est passé cette fois-ci. La fuite a résulté d'un « problème de configuration » non détaillé survenu dans les datacenters de Microsoft aux États-Unis, en Europe et en Asie. Le carnet d'adresses Offline de la suite BPOS, qui contient les informations de contact professionnel, a été rendu accessible à des utilisateurs non autorisés dans des «circonstances très particulières, » selon Clint Patterson, chargé par Microsoft de présenter des excuses au nom de l'entreprise. Le problème a été résolu deux heures après avoir été découvert, ce qui ne permet pas de dire pendant combien de temps l'accès à ces données était ouvert. Par chance pour Microsoft, l'entreprise, qui réalise le traçage des données, a pu contacter ceux qui avaient téléchargé ces éléments par erreur pour faire un peu de nettoyage.
Trois risques de fuite
À n'en pas douter, l'affaire aura un impact certain chez ceux qui envisageaient d'adopter le Cloud dans l'année à venir, en particulier ceux qui regardaient du côté d'Office 365, l'offre cloud majeure de Microsoft en liaison avec sa suite bureautique Office.
Globalement, trois évènements peuvent menacer les données de n'importe quel fournisseur Cloud : une mauvaise configuration ou des bugs dans le logiciel de service cloud ; le vol de données par des pirates, pour le plaisir ou pour le profit ; des employés négligents avec les données confidentielles. Ce troisième point n'est pas nouveau : les employés ayant accès aux données sensibles risquent toujours d'orienter accidentellement les datas vers des personnes non autorisées. C'est ce qui se passe dans les nombreux accidents de messagerie où une mauvaise pièce jointe est envoyée, ou quand des emails sont accidentellement transmis à d'autres destinataires.
Le cloud, une source de très grosses erreurs ?
La collaboration entre l'homme et l'ordinateur posera toujours quelques problèmes. À une différence près : le cloud computing offre la possibilité unique de faire de très grosses erreurs. Les nombreux services en ligne permettent de partager des données entre individus aussi facilement qu'avec la totalité de l'Internet. Le travail collaboratif est même une des raisons d'être des services cloud. On imagine donc facilement ce qui pourrait arriver : il est tard, un employé fatigué voudrait partager le document « Invitation à la fête de Noël » avec le monde entier, mais sélectionne accidentellement le document « Comptes trimestriels 2010 » de l'entreprise. Y a t-il des procédures pour éviter ce genre d'erreurs ? Est-ce vraiment la première fois que cela arrive ? Un client vous a déjà informé poliment d'une telle erreur ?
Les erreurs de configuration et les bugs ne sont pas des problèmes mineurs. En premier lieu, on peut espérer que les fournisseurs de services cloud effectuent des tests massifs avant de proposer leur produit. Ensuite, il est bien connu que les logiciels vendus par les éditeurs ne comportent jamais de bugs... Enfin, la menace liée au piratage représente sans doute la plus grande préoccupation. Les pirates sont parmi les individus les plus intelligents et les plus sournois de la planète. Rien ne les arrête. Même ceux qui n'ont pas ces qualités peuvent créer beaucoup de problèmes. Le fait d'avoir ses données sur ses propres serveurs, dans ses propres locaux, représentait une barrière physique contre le piratage. Un obstacle que certains hackers ont aussi surmonté. N'empêche que la conception de ces serveurs était en soi un élément de sécurité. Le cryptage n'est pas non plus la solution parfaite. Des données cryptées peuvent aussi être cassées. C'est le cas si le logiciel de cryptage présente lui-même des bogues.
Une éventualité très réaliste
Cela signifie que, si une entreprise met ses données dans un cloud, elle doit prendre en compte l'éventualité, très réaliste, que ces données puissent devenir publiques à un moment ou à un autre. La nature et l'importance de la fuite pourront varier. Mais, cela pourra arriver. C'est juste une question de date.  Il serait aussi intéressant d'aller rendre visite à Microsoft, à Google, et à d'autres pour voir s'ils consomment ce qu'ils vendent : est-ce que Google fait confiance à sa plate-forme Docs pour ses données d'entreprise hypersensibles ? On se pose la question et on se dit probablement que non. Il faudrait vérifier, mais la firme de Mountain View ne joue pas vraiment la carte de la transparence.
Des lois existent contre le vol de données, obligeant les entreprises à mettre en place des systèmes de sécurité appropriés. Mais quelle valeur accorder à ces protections une fois que les données sont sorties du cloud ? Et si ces données volées sont transformées en fichier Torrent, comme cela semble être la mode en ce moment, il n'y a absolument aucune chance de faire un nettoyage discret en demandant à ceux qui ont reçu ces données par erreur de les détruire ou de les restituer...