Skype est désormais sous le coup d’une enquête ouverte au Luxembourg pour sa gestion des données personnelles. Microsoft, qui a racheté l’entreprise en 2011, est accusée d’avoir manqué de transparence et risque des sanctions autant pénales qu’administratives.
Crédits : Mark Turnauckas, licence Creative Commons
Skype, de l'entreprise suédoise au service clé dans la stratégie de Microsoft
Skype est une entreprise qui fête cette année ses dix ans. Elle a été fondée principalement par Niklas Zennström, avec l’aide d’un autre Suédois, Janus Friis. Le client de communication VoIP a cependant été développé par la même équipe de trois développeurs estoniens qui étaient déjà derrière le célèbre KaZaA (partage de données en P2P). Deux rachats massifs vont transformer la vie de l’application : celui par eBay pour 2,6 milliards de dollars en 2005, et celui par Microsoft pour 8,5 milliards de dollars, annoncé en août 2011 et finalisé en octobre de la même année.
Or, c’est précisément Microsoft qui est désormais sous les feux des projecteurs. La sécurité des communications sur Skype a déjà fait l’objet de doutes, et elle a même été pointée du doigt par un regroupement d’associations et de journalistes en janvier dernier. Mais la couverture par les médias a pris un tout autre tournant depuis l’éclatement du scandale Prism, le système américain de surveillance des données de la NSA. Or, Skype détient aujourd’hui un rôle clé dans la stratégie de Microsoft, et les grandes entreprises américaines du cloud sont accusées d’être liées à la NSA, en fournissant régulièrement des données selon un mode plus ou moins automatique.
La plainte du Luxembourg
En juillet dernier, Microsoft se retrouve face à des attaques virulentes à la suite de la publication de documents dérobés par le lanceur d’alertes Edward Snowden. Dans ces derniers, il apparaissait que Microsoft avait mis en place des mécanismes spécifiques pour Skype et Outlook.com en particulier afin que la NSA puisse piocher dans les données qui circulaient. En particulier, cette récupération pouvait s’effectuer avant même la transmission d’un message à un contact, avant donc que le chiffrement des données n’intervienne. Une information qui faisait écho à d’autres documents qui révélaient, eux, que la NSA cherchait autant que possible à éviter le chiffrement lors des transmissions, soit en récupérant les données avant, soit en ayant la clé. Microsoft s'était évidemment défendue de telles actions.
C’est dans ce contexte que le Luxembourg a décidé d’ouvrir une enquête sur le client VoIP. Gerard Lommel, responsable de la protection des données dans le pays, a déposé la plainte à une date inconnue, mais The Guardian estime qu’elle a vraisemblablement fait suite aux révélations de juillet dernier. Interrogé par le journal anglais, le Lommel n’a d’ailleurs pas souhaité commenter outre-mesure la situation, indiquant simplement que l’enquête était en cours.
L'enjeu
Le Luxembourg a beau être un petit pays, l’enquête est significative, principalement pour deux raisons. D’une part, la constitution du Luxembourg garantit le droit et le respect de la vie privée. Elle sanctuarise le secret des correspondances, à moins qu’une loi spécifique n’indique le contraire. De même, aucune surveillance des citoyens ne peut être mise en place à moins qu’un juge n’en autorise expressément les forces de l’ordre. D’autre part, le Luxembourg est un pays emblématique, car les sièges de nombreuses entreprises y sont installés pour profiter de son système fiscal avantageux. C’est notamment le cas de Skype, qui y garde son quartier général, même depuis le rachat par Microsoft.
Le Guardian toutefois jette les bases d’une autre hypothèse : celle d’un accord secret entre le Luxembourg et la NSA. Un tel accord aurait pu prendre place entre le pays et l’agence sans même que le commissaire à la protection des données, Gerard Lommel, ne soit mis au courant. Pour le journal anglais, l’enquête revêt donc plusieurs formes et pourrait déboucher sur un certain nombre de révélations.
Il faut souligner en outre un aspect important de cette plainte. Bien que le Luxembourg soit un petit pays, il pourrait donner le signal que de telles plaintes sont possibles. C’est notamment le cas en Europe dont les relations avec les États-Unis se sont tendues suite aux multiples informations publiées par le Guardian, le Wahsington Post, le New York Times et Der Spiegel sur Prism et l’ensemble du système américain de surveillance. À ce sujet, nous avons d’ailleurs contacté la CNIL (Commission Nationale de l'Informatique et des Libertés), qui doit revenir vers nous dans la journée pour nous communiquer sa réaction.
Commentaires (49)
#1
Dans l’intro :
Microsoft, qui a racheté l’entreprise en 2008
Habon ? " />
#2
Comme l’indique Numérama :
Dès juin 2011, au moment de son rachat de Skype, Microsoft avait dit être prêt à livrer aux Russes des clés de déchiffrement des conversations, ce qui laissait peu de doutes sur le fait que les Etats-Unis bénéficiaient déjà d’un tel accès.
#3
Le Luxembourg a beau être un petit pays, l’enquête est significative, principalement pour deux raisons. D’une part, la constitution du Luxembourg garantit le droit et le respect de la vie privée. Elle sanctuarise le secret des correspondances, à moins qu’une loi spécifique n’indique le contraire. De même, aucune surveillance des citoyens ne peut être mise en place à moins qu’un juge n’en autorise expressément les forces de l’ordre.
Comme en France quoi." />
#4
#5
Entre ça et la mutation client/serveur, y’a moyen d’avoir une alternative fiable (et encore mieux, si possible open-source) ? Et non, Google Hangouts ou Facetime ne sont pas des alternatives fiables( comprendre controlées par les utilisateurs)
#6
on m’aurais donc menti alors…"> " />" />
D’une part, la constitution du Luxembourg garantit le droit et le respect de la vie privée. Elle sanctuarise le secret des correspondances, à moins qu’une loi spécifique n’indique le contraire. De même, aucune surveillance des citoyens ne peut être mise en place à moins qu’un juge n’en autorise expressément les forces de l’ordre.
" />
Le Guardian toutefois jette les bases d’une autre hypothèse : celle d’un accord secret entre le Luxembourg et la NSA.
" /> un accord secret entre services secrets et gouvernement…on pourrait avoir le même ici, SVP, allez STP NSA. " />
#7
#8
Skype n’est plus viable depuis son rachat par Microsoft. C’est juste devenu l’un des plus grand système d’écoute de la NSA " />
Et il faut chercher une alternative à Outlook.
#9
Encore des gens qui pensent que la NSA travaille exclusivement avec Microsoft.
Il faut être naïf pour croire que Google/Apple/Facebook ne fassent pas de même.
C’est juste devenu l’un des plus grand système d’écoute de la NSA
Lequel est le plus grand ? Google ? Facebook ? Orange ? Ne croyez pas que seuls les compagnies US fassent de l’écoute/monitoring hein. Dans tous les pays c’est la même chose. C’est juste que c’est un américain qui a divulgué la NSA, mais on a la même en Europe…
Alors STOP à ces commentaires débiles. On est tous espionnés (comment pourrait-on déjouer les attentats sinon.)
#10
#11
J’ai lâché Skype. J’utilise Zoiper Communicator associable avec une ligne SIP (Ovh entre autre). mais pas obligatoire
http://www.zoiper.com/softphone/communicator/
#12
#13
#14
À ce sujet, nous avons d’ailleurs contacté la CNIL (Commission Nationale de l’Informatique et des Libertés), qui doit revenir vers nous dans la journée pour nous communiquer sa réaction.
On va voir si c’est la même réaction qu’avec les ONG. " />
#15
#16
#17
Y a tous les softphones SIP pour ceux qui cherchent une alternative gratuite et Open source : Ekiga, Jitsi etc…
#18
#19
Alors STOP à ces commentaires débiles. On est tous espionnés (comment pourrait-on déjouer les attentats sinon.)
Encore un qui croit que l’espionnage massif à pour but principal la lutte contre le terrorisme.
:bisounours:
#20
#21
#22
Perso, je pense qu’à partir du moment où tu utilise un réseau(pour Skype, comprenez internet), tu t’exposes au risque d’être espionné par d’autres utilisateurs ayant des connaissances et moyens techniques appropriés.
Plus le réseau est grand(internet) plus le risque est élevé.
Un client de messagerie “libre” n’est pas intouchable.
Utiliser un téléphone ou Skype, niveau confidentialité, c’est du pareil au même.
De toute façon, la NSA à beau espionner beaucoup de monde, ça m’étonnerai fort qu’elle ai la possibilité d’analyser toutes les données qu’elle collecte.
Il ne faut pas non plus tout mettre sur le dos de µsoft, c’est loin d’être la seule société à collaborer.
#23
#24
#25
#26
Et puis il y a les chiffres donnés également. Officiellement, on nous disait 54 attentats déjoués depuis le lancement du programme, ce qui, d’un point de vue purement mathématique (oui c’est moche, pardon aux familles des victimes toussa), est quand même très peu compte tenu du nombre de données collectées, et ensuite, parait-il que sur ces prétendus 54 brandis, seuls 13 auraient été vraiment déjoués grâce à PRISM.
13 attentats déjoués réellement contre combien d’attentats à la vie privée de part le monde ? Y’a comme un léger déséquilibre entre les moyens et les buts atteints.
#27
#28
#29
#30
#31
http://www.theatlanticwire.com/technology/2013/10/nsa-collects-email-address-boo…
tiens, ça continue.
#32
#33
#34
#35
“Le Guardian toutefois jette les bases d’une autre hypothèse : celle d’un accord secret entre le Luxembourg et la NSA.”
C’est surtout ça qu’il fallait dire, c’est largement plus plausible et crédible comme argument… La vérité est ailleurs…
" />
#36
#37
#38
#39
#40
#41
#42
#43
#44
#45
#46
#47
#48
#49