Passer au contenu

Les grandes oreilles du Cloud

Les révélations de l’affaire Snowden ébranlent la confiance qu’on peut accorder à l’informatique en nuage.

Honk Kong, juin 2013. Trois journalistes du Guardian et du Washington Post ont rendez-vous avec une source qu’ils ne connaissent que par des échanges électroniques chiffrés. Ils ont convenu de se rencontrer dans un centre commercial du quartier Kowloon. Là, ils reconnaissent l’individu grâce à ce qu’il tient dans la main, un Rubik’s Cube. Edward Snowden, c’est lui, leur remet plusieurs milliers de documents classifiés de la NSA, l’Agence d’espionnage électronique des États-Unis. Un mois auparavant, à Hawaï, alors qu’il était employé chez un prestataire de la NSA, Snowden les avait transférés sur une clé USB juste avant de partir pour un exil forcé. Depuis, les révélations perlées ébranlent le monde au rythme des publications.

Collecte de masse

Dans les jours suivant la rencontre, les citoyens états-uniens apprennent que leurs communications peuvent être enregistrées sans autorisation de la justice (Dossier Prism). Dans le même temps, les journaux révèlent que l’agence recueille de façon systématique les données transitant par les câbles sous-marins qui voient passer l’essentiel du trafic internet. En complément, le programme PRISM implique de grands fournisseurs de technologies, qui donnent à la NSA accès à des portes dérobées dans leurs logiciels. Certaines – Microsoft, Yahoo, Google, Facebook, PalTalk, Youtube, Skype, AOL, Apple – ouvrent aussi leurs serveurs depuis plusieurs années. En septembre est dévoilé Bullrun, un effort à 250 millions de dollars l’an qui vise, par des voies diverses, à défaire les méthodes de chiffrement usuelles (SSL/TLS, VPN). Depuis 2010, l’agence pourrait ainsi déchiffrer d’énormes volumes à la volée.

Une confiance à reconstruire

Dans le monde de la sécurité informatique, personne n’est totalement surpris par les capacités d’espionnage électronique des États-Unis mises au jour par l’affaire. Ce qu’apporte ce déballage, c’est une meilleure appréciation d’un risque connu de renseignement économique et diplomatique. Depuis longtemps, les entreprises françaises dont le métier touche à la défense du pays travaillent avec des fournisseurs liés de longue date à l’État et aux services français, comme Bull, Dassault, Thalès… L’initiative de Cloud souverain français enrôle ces fournisseurs qui ont la confiance des administrations, n’en déplaise aux (ex-)start-up qui ont vu échapper la manne. Pour les autres entreprises, l’analyse des risques liés à l’informatique en nuage n’est pas évidente. Que fera-t-on avec mon carnet de commandes, mes clients, ma compta en ligne ? Pour convaincre ces PME inquiètes, les fournisseurs de cloud repartiront de zéro. Quant au public qui souhaite garder ce sentiment de vie privée, qui ne veut pas vivre sous le regard d’un gardien caché, il est un peu seul. On trouve sur des sites comme Prism-break.org de quoi compliquer la tâche de Big Brother, des logiciels au code source public, des services non centralisés et des outils de chiffrement. Et d’après Snowden, le chiffrement est efficace lorsqu’il est correctement employé. Mais il reste difficile d’employer correctement ces outils trop longtemps réservés à des experts.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Philippe Roure