IBM assure qu'il n'a fourni aucune donnée sur ses clients à la NSA, l'agence de sécurité nationale américaine, ni à aucune autre agence gouvernementale dans le cadre de programmes entraînant la collecte massive de contenus ou de métadonnées. Il l'a indiqué dans une lettre à ses clients situés hors des Etats-Unis vendredi dernier, en précisant qu'il n'avait communiqué aucune information dans le cadre de Prism, ni en réponse à une demande de la sécurité nationale se réclamant de la loi FISA (Foreign Intelligence Surveillance Act of 1978) ou d'une procédure de type National Security Letter.
Dans cette lettre, également publiée en ligne, Robert Weber, vice président senior d'IBM, responsable juridique pour le groupe américain, précise que le groupe n'a placé aucune porte dérobée dans ses produits donnant accès aux données et qu'il n'a transmis aucun code source de ses logiciels, ni clés de chiffrement à la NSA pas plus qu'à aucune autre agence gouvernementale pour qu'ils puissent accéder à des informations gérées par ses clients.
Le dernier à prendre ses distances
Le groupe est la dernière entreprise technologique américaine à prendre ses distances avec la surveillance exercée par la NSA mise à jour en juin 2013 par l'un de ses anciens collaborateurs, Edward Snowden. Ce dernier avait révélé qu'un certain nombre d'acteurs de l'Internet avaient autorisé la NSA à accéder en temps réel aux contenus de leurs serveurs dans le cadre du programme Prism. Ce que les grands noms du secteur avaient alors nié. L'agence s'était aussi secrètement introduite sur les réseaux de communication reliant entre eux les datacenters de Google et de Yahoo dans le monde. Ces opérations d'espionnage ont suscité de nombreuses questions chez les clients des fournisseurs américains de services Internet à travers le monde, préoccupés par la sécurité de leurs données ainsi exposées à l'indiscrétion du gouvernement américain.
En août dernier, le think tank Information Technology & Innovation Foundation avait jeté un froid en estimant que l'industrie américaine du cloud risquait de perdre entre 22 et 35 milliards de dollars sur les marchés internationaux dans les trois années à venir, au profit de concurrents non américains à la suite des révélations d'espionnage de la NSA. Certains pays, comme le Brésil, envisagent de demander aux fournisseurs de services de conserver les données dans le pays, une évolution qui peut potentiellement fragmenter Internet, comme l'a décrit Google fin 2013.
Inquiet du risque de localisation des données
Dans sa lettre, Robert Weber explique que « en général, si un gouvernement veut accéder aux données détenues par IBM pour le compte d'une entreprise cliente, nous nous attendons à ce que ce gouvernement traite directement avec ce client ». Si cette requête émane de la sécurité nationale des Etats-Unis, accompagnée d'un ordre empêchant d'informer le client de la demande, IBM s'engage à contester l'ordre par les voies légales et par d'autres moyens. Pour les données des entreprises clients stockées en dehors des Etats-Unis, IBM affirme que tout effort du gouvernement américain pour obtenir de telles données « devrait passer par des voies légales internationalement reconnues, telles que les demandes d'entraide s'inscrivant dans le cadre de traités internationaux ». Cela permettrait de contester cet ordre par des moyens juridiques.
Par ailleurs, inquiet lui-même des stratégies de localisation des données par pays que les gouvernements pourraient mettre en place pour protéger les données de leurs entreprises, IBM estime, par la voix de Robert Weber, qu'il s'agit là de politiques à « courte vue » qui feront peu pour l'amélioration de la sécurité mais qui dénatureront les marchés et favoriseront les tendances protectionnistes. Le responsable juridique ajoute que les gouvernements ne devraient pas non plus détourner les technologies commerciales, telles que le chiffrement, qui sont destinées à protéger les données des entreprises. Ce faisant, il fait apparemment référence à des informations indiquant que la NSA avait essayé de contourner les technologies de chiffrement.
Une réponse adressée aussi aux employés et partenaires
IBM a précisé que cette lettre constituait une réponse aux questions posées par ses clients sur la meilleure façon de sécuriser leurs données, sur l'endroit où ils devraient les localiser et sur la façon dont le groupe dirigé par Virginia Rometty réagirait si un gouvernement lui demandait d'accéder à leurs données. C'est aussi une question qui préoccupe nos employés, nos partenaires et nos actionnaires, a ajouté Robert Weber.
D'autres entreprises ont aussi essayé de rassurer leurs clients à la suite des révélations d'Edward Snowden. Microsoft a notamment indiqué en décembre qu'il s'engageait à les informer des ordres légaux relatifs à leurs données et qu'il porterait devant les tribunaux tout ordre leur interdisant de partager de telles informations avec ses clients. L'éditeur a aussi prévu de chiffrer les données de ses clients entre ses différents datacenters, ce qu'il devrait avoir achevé d'ici la fin de l'année. Yahoo et Google ont aussi annoncé qu'il renforçait les procédures de chiffrement de leurs services.