Depuis le début de cette année on a beaucoup parlé de cloud computing. Bien que les vendeurs soient à peu près tous d’accord sur le fait que le cloud est la tendance à suivre et dans laquelle il faut investir, du côté des clients l’engouement est nettement moins prononcé et le cloud a encore du mal de trouver sa place en entreprise. Il est vrai que le « modèle cloud computing » risque de changer radicalement les habitudes et engendre diverses réticences : les administrateurs systèmes voient d’un mauvais œil le fait qu’une partie non négligeable de leur business leur échappe quand aux DSI, il s’inquiètent pour la privacy et la sécurité de leurs données. Le risque est-il réel ?
En matière de privacy, le risque qu’un administrateur système de Google, Microsoft ou Amazon aille fouiller dans les données d’une entreprise est le même qu’en interne et pour être honnête, le risque à ce niveau est peut être même moins élevé auprès des grands acteurs du cloud : des géants de l’informatique tels que ceux mentionnés précédemment ont les moyens de mettre en place toutes les infrastructures et équipements nécessaires pour surveiller les actions de leurs propres employés. Bref, de ce côté-là, il n’y a pas d’inquiétudes à avoir. Malheureusement, les choses ne s’arrêtent pas là et la privacy est menacée par tout autre chose : le Patriot Act.
Depuis les attentats du 11 septembre, une loi a été mise en place au Etats-Unis. Le Patriot Act est une loi qui permet aux services secrets américains de mettre sur écoute toute personne sans qu’il soit nécessaire de fournir une preuve de son implication dans un acte terroriste. Cette loi autorise aussi les Etats-Unis à venir dans une société afin de prendre du matériel, copier des données et même installer des dispositifs reliés aux équipements présents sans avoir à en expliquer le fonctionnement, l’utilité ni même le motif de l’installation. Dans ces conditions, même avec de la bonne volonté, il est difficile à une entreprise basée aux Etats-Unis de garantir à ses clients que personne n’aura accès à leurs données. Pour information, au mois de mars, le Patriot Act qui, au passage, viole 6 amendements de la constitution des Etats Unis a été reconduit pour un an par le président Obama.
Les fournisseurs sont naturellement conscients de ce problème et offrent donc la possibilité à leurs clients de choisir la zone géographique où seront stockées leurs données. L’utilisateur pourra alors choisir de placer ses données hors de la juridiction des Etats-Unis. Naturellement le fournisseur est toujours tenu de respecter la législation en vigueur du pays dans lequel il s’est implanté.
Au niveau de la sécurité, le cloud s’avère particulièrement intéressant pour les pirates. Derrière des sites tels que Gmail se trouvent des centaines de millions d’utilisateurs. Voilà qui est très alléchant pour des personnes mal intentionnées. L’affaire qui oppose Google à la Chine ne contribue pas à rassurer les gens. Ajoutons à cela la récente affaire de piratage de compte Gmail… Que s’est-il passé ? Les boîtes mails de diverses personnes ont été piratées et du spam a été envoyé à l’ensemble des contacts des gens dont le compte s’est fait piraté. Leur compte a été utilisé depuis la Chine. D’après Google, la faute serait du côté des utilisateurs qui n’emploieraient pas un mot de passe suffisamment fort ou qui auraient donné leur mot de passe à une autre personne ou qui n’utiliseraient pas de connexions sécurisée.
Si l’on peut penser que certaines victimes ont un mot de passe faible, les messages présents sur le forum officiel de Google laissent penser que l’attaque s’est effectuée au niveau de Gmail et non côté clients. Certains utilisateurs spécifient que leur mot de passe n’est pas « trouvable par dictionnaire » ou que leur mot de passe est « plutôt fort ». En gros, parmi les victimes, certains avaient très certainement de bons mots de passe qu’une attaque par dictionnaire n’aurait pu découvrir. D’autres utilisateurs ont vérifié leur système au moyen d’antivirus, antispyware et leurs outils n’ont rien trouvé (naturellement, aucun outil n’est infaillible).
Même des utilisateurs sous GNU/Linux ont été victime de ce problème. Je ne nie pas la possibilité de créer un keylogger, un virus ou un spyware sous GNU/Linux, mais soyons honnête c’est très très rare : il est nettement plus intéressant, pour un pirate, de créer un malware pour un système tel que Windows qui représente près de 90% du marché. Ici, les victimes utilisaient donc des systèmes différents (Windows, GNU/Linux) et différents browsers. Pour finir, ces utilisateurs ont visiblement des profils variés (débutants, utilisateurs avertis). Bref, tout laisse croire que le problème se situe plutôt au niveau de Google.
Cette histoire ne se limite pas à un problème de sécurité, mais concerne également la privacy : chaque personne ayant reçu le spam en question connaît à présent toutes les adresses email présentes dans la liste de contact du compte gmail leur ayant envoyé le spam.
Les craintes au sujet de la sécurité du Cloud Computing risquent donc de durer un certains temps.
De mon point de vue toute entreprise, industrielle en tous les cas, doit être particulièrement attentive au phénomène quelquefois sous évalué en Europe de la “guerre économique” (ou plus pacifiquement d’intelligence économique – mais n’est-ce pas un euphémisme). Il est de mon point de vue imprudent de situer à l’extérieur des informations ou données qui peuvent renseigner les concurrents sur ses intentions ou activités “secrètes” (celles qui relèvent de ses orientations stratégiques sur le moyen-long terme).
Un site intéressant sur ce type de problématiques : http://www.ege.fr/
Bonjour,
Littéralement parlant, la privacy veut dire “vie privée”. Dans les faits, on s’en sert pour désigner la confidentialité des données, mais également l’utilisation qui est faite de celles-ci. Voici, par exemple, la politique de privacy de Gmail : http://mail.google.com/mail/help/about_privacy.html . Sur cette page, on vous expliquera que le contenu de vos mails sera analysé afin de vous envoyer de la publicité ciblée sans pour autant envoyer vos données personnelles aux publicitaires. Prenons un exemple simplifié : en créant une adresse Gmail, vous acceptez donc que vos mails soient analysés par Google. Si ce dernier en scanne le contenu sans l’envoyer à des tiers, il respectera sa politique de privacy (les données seront utilisées de manière conforme à ce que vous avez accepté lors de la création du compte). A titre de comparaison, voilà la politique de privacy de Yahoo où là on parle explicitement de “l’utilisation” (==> notion d’usage) de vos données personnelles : http://info.yahoo.com/privacy/fr/yahoo/#t3#t3 .
Bref, la privacy n’est pas respectée lorsque vos données sont accédées par des personnes autres que celles pour lesquelles vous les aviez destinées ou si vos données sont utilisées pour d’autres usages que ceux auxquels vous avez consenti.
Juste pour info, la confidentialité a été définie par l’ISO comme “le fait de s’assurer que l’information n’est seulement accessible qu’à ceux dont l’accès est autorisé”. A ma connaissance, il n’y a pas de notion d’utilisation des données dans leur définition (mais je peux me tromper 🙂 ).
Qu’entendez-vous par privacy ?
Ne serait-ce pas simplement la confidentialité ou ce terme recouvre-t-il plus de chose voir une notion difficilement transposable en français ?