Microsoft chiffrera l'intégralité des données d'ici la fin de l'année prochaine

Microsoft chiffrera l’intégralité des données d’ici la fin de l’année prochaine

Fallait-il vraiment attendre qu'un scandale éclate ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

05/12/2013 5 minutes
29

Microsoft chiffrera l'intégralité des données d'ici la fin de l'année prochaine

Le scandale de la surveillance américaine des données et des pouvoirs de la NSA a provoqué une vague de réactions à de multiples niveaux. Après l’annonce par Yahoo que le chiffrement serait désormais la règle de base pour l’ensemble de ses communications d’ici la fin du mois de mars prochain, voilà que Microsoft saute dans le même bateau.

datacenter microsoft

2014, l'année du chiffrement intégral des données 

Les révélations engendrées par les documents dérobés d’Edward Snowden ont braqué les projecteurs sur l’ensemble de la sécurité informatique. Les grandes entreprises impliquées dans le cloud que sont Microsoft, Facebook, Yahoo, Apple ou encore Google ont toutes réagi pour indiquer qu’elles ne communiquaient des informations personnelles qu’en cas de requête légalement formulée, agrémentée d’un mandat délivré par un juge. Depuis des mois, ces sociétés insistent sur un point important : elles ne participent pas volontairement à cette surveillance généralisée.

 

Seulement voilà, les informations données par Snowden ont tendance à montrer que la NSA se passe de cet accord depuis de nombreuses années. Via un programme nommé Muscular, l’agence se procure ce dont elle a besoin depuis des années sans demander la permission, soit via des malwares placés à endroits stratégiques, soit surtout par l’écoute directe sur d’importants câbles dans lesquels transitent les flux de données.

 

C’est dans ce contexte particulier que Yahoo avait fait une annonce pour certifier que l’intégralité de ses communications bénéficierait du chiffrement des données d’ici la fin du premier trimestre 2014. Contrairement à ses concurrents, les communications ne sont chiffrées pour aucun produit et seul Yahoo Mail bénéficie d’un accès en HTTPS depuis très peu de temps. Pour les autres entreprises du cloud, la situation varie, certains services chiffrant les communications, d’autres non.

Microsoft se jette à l'eau 

C’est le cas de Microsoft, qui annonce dans un nouveau communiqué qu’elle aussi basculera vers le chiffrement intégral dans le courant 2014, une volonté qui fait suite aux fortes rumeurs allant dans ce sens. Contrairement à Yahoo, plusieurs services chiffrent déjà les données vers les serveurs de l’éditeur, mais pas tous. En outre, ce chiffrement n’est pas forcément assuré en interne, entre les serveurs. 

 

Voici donc la série de mesures annoncées :

  • La généralisation du chiffrement pour tout transfert de données entre le client et Microsoft,
  • L’ensemble des services clés de plateforme, productivité et de communications seront chiffrés lors des échanges inter-serveurs,
  • Plusieurs protections seront mises en place, dont des clés de chiffrement 2048 bits et la confidentialité persistante,
  • Le contenu des utilisateurs stocké par Microsoft sera lui aussi chiffré, notamment dans le cas de SkyDrive. Si des développeurs tiers utilisent Azure pour stocker des données, ils auront le choix d’activer cette fonctionnalité ou non,
  • Un travail est en cours avec d’autres entreprises pour que les données transitant d’un service vers un autre restent chiffrées.

Selon Microsoft, la fin des travaux est prévue pour fin 2014 mais la firme précise qu’une majorité de ces mesures est en fait déjà en place. Problème : aucun détail n’est donné et on ne sait donc pas quels sont les produits concernés. On signalera par exemple les services Outlook.com, Calendrier, Contacts, SkyDrive ou encore les Office Web Apps, utilisant toutes une connexion HTTPS.

Pourquoi avoir attendu ? 

Cet élargissement des protections techniques s’accompagnera d’un aspect juridique. Microsoft indique en effet que les entreprises et les gouvernements qui possèdent des données hébergées sur un service quelconque seront automatiquement avertis en cas de réception d’une demande légale d’accès à leurs données. Si un ordre de mise sous silence tente d’imposer un court-circuit de cette chaine d’informations, la firme s’engage à porter l’affaire devant les tribunaux. On rappellera à ce sujet que Microsoft s’est rapproché de Google pour déposer une plainte commune contre le gouvernement américain. Objectif : obtenir l’autorisation d’ouvrir les vannes sur les demandes qui leurs sont faites par les agences de renseignement.

 

Nous ferons remarquer, comme dans le cas de Yahoo d’ailleurs, qu’il est dommage que Microsoft ait attendu qu’éclate un scandale pour que le chiffrement des données devienne la règle pour l’ensemble des transmissions. Car c’est véritablement l’opprobre populaire et la perte de confiance qui font réagir l’entreprise, la NSA n’étant pas la seule menace contre les données privées : le chiffrement permettra dans tous les cas de mieux résister aux attaques des pirates. Un élément essentiel, surtout dans les communications inter-serveurs, quand on sait quelle importance le cloud prend à l’heure actuelle.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

2014, l'année du chiffrement intégral des données 

Microsoft se jette à l'eau 

Pourquoi avoir attendu ? 

Commentaires (29)


Ouai bon ça changera pas grand chose, sauf que la NSA devra perdre du temps en procédures judiciaires…<img data-src=" />

Mais au moins ça apportera le cryptage des transfert de données, il était temps.


ça ne change rien du tout puisque la NSA aura les clefs de toutes façons.



La seule avancée serait d’intégrer des outils permettant de chiffrer côté client avec les logiciels de son choix avant d’uploader dans le cloud, de telle sorte que ce chiffrement ne dépendant absolument pas de Microsoft.



Pareil pour Yahoo, ça me fait bien marrer, chiffrer en ssl entre le client et le serveur yahoo, quelle avancée, … sauf que la nsa écoute chez yahoo directement, à l’autre bout du chiffrement.



De la poudre au yeux pour moi.


pour moi c’est du vent, ils peuvent mettre en place la sécurité la plus haute du monde, si la NSA dit “donne moi les cles” ils la donneront, donc la sécurité n’est pas assurée.



D’ailleurs quid des entreprises utilisant des cles à chiffrement importantes en France ? Pour un particulier, il me semble qu’au dela d’une limite, il faut les fournir à l’état.


Cela protégera des yeux indiscrets. Surtout que les dernières versions IE prennent en charge TLS 1.1 et TLS 1.2



Après es-ce que MS en profitera pour modifier ses outils comme exchange qui ne rechigne pas à parler aux inconnus (cf le petit hack aux parlements européens). Et surtout à utiliser des solutions standards et ouvertes, que l’ont soit pas obliger d’utiliser du tout MS.





Nous ferons remarquer, comme dans le cas de Yahoo d’ailleurs, qu’il est dommage que Microsoft ait attendu qu’éclate un scandale pour que le chiffrement des données devienne la règle pour l’ensemble des transmissions. Car c’est véritablement l’opprobre populaire et la perte de confiance qui font réagir l’entreprise, la NSA n’étant pas la seule menace contre les données privées :



+1



Après j’ai des doutes sur la partie légale, si la justice impose de ne pas communiquer, je vois mal MS porter tous les sujets au tribunaux.








Charly32 a écrit :



Ouai bon ça changera pas grand chose, sauf que la NSA devra perdre du temps en procédures judiciaires…<img data-src=" />

Mais au moins ça apportera le cryptage des transfert de données, il était temps.





Bien d’accord, mais cela aura au moins le mérite d’éviter les indiscrétions. sur les échanges. Mais cela ne protège pas là où elles ont stockés.









tybreizh a écrit :



pour moi c’est du vent, ils peuvent mettre en place la sécurité la plus haute du monde, si la NSA dit “donne moi les cles” ils la donneront, donc la sécurité n’est pas assurée.





A priori, et légalement, on ne peut les obliger à donner les clefs. Tout ce qu’ils doivent faire, c’est livrer une version déchiffré des données précises réclamé par la comission en question (normalement ce n’est pas la NSA qui demande, ni qui se sert).



Mais bon, peut-on avoir une quelconque confiance envers le gouvernement américain ? Probablement pas, donc oui, in fine, ils auront la totalité des clefs de la totalité des entreprises qui ont des serveurs sur leurs sols. Et ce, me^me si c’est sensé être illégale.



Ou alors il s’agit d’une simple démarche commerciale pour dire aux industriels et particuliers du monde entier que chez Microsoft maintenant, ça déconne plus avec la sécurité et qu’il est très important pour la NSA que les gens et les entreprises continuent à utiliser leurs outils pour pouvoir continuer à écouter comme actuellement.








Soriatane a écrit :



Après es-ce que MS en profitera pour modifier ses outils comme exchange qui ne rechigne pas à parler aux inconnus (cf le petit hack aux parlements européens).





Attention, tu n’a pas lu les commentaires de la dite news.



Va lire les commentaires (ou la même news sur d’autres sites plus sérieux que PCI) et tu verras qu’il ne s’agit pas d’une faille d’exchange, mais d’une utilisation stupide du client mail d’iOS (qui de base est tout sauf sécure…).



Jamais Exchange n’a été mit en cause (sauf par PCI) ! Si Exchange avait une faille de cette taille ça se serait su…









tybreizh a écrit :



D’ailleurs quid des entreprises utilisant des cles à chiffrement importantes en France ? Pour un particulier, il me semble qu’au dela d’une limite, il faut les fournir à l’état.







Bon sang c’est pas la première fois que je lis ça dans les commentaires et c’est pas la première fois que je réponds. Il serait temps de vous mettre à jour les gars !



La Loi pour la confiance dans l’économie numérique du 21 juin 2004 permet à n’importe qui, particuliers comme entreprises, d’utiliser n’importe quel moyen de chiffrement, y compris les plus élevés, sans devoir rendre de compte à personne. En gros on peut tout chiffrer comme on veut.









Glyphe a écrit :



Bon sang c’est pas la première fois que je lis ça dans les commentaires et c’est pas la première fois que je réponds. Il serait temps de vous mettre à jour les gars !



La Loi pour la confiance dans l’économie numérique du 21 juin 2004 permet à n’importe qui, particuliers comme entreprises, d’utiliser n’importe quel moyen de chiffrement, y compris les plus élevés, sans devoir rendre de compte à personne. En gros on peut tout chiffrer comme on veut.







Hey, pas la peine de s’énerver comme cela, mais merci pour l’information <img data-src=" />









Glyphe a écrit :



Bon sang c’est pas la première fois que je lis ça dans les commentaires et c’est pas la première fois que je réponds. Il serait temps de vous mettre à jour les gars !





Marrant, j’étais pas au courant non plus, j’pensais qu’on était limité au 2K…









Glyphe a écrit :



Bon sang c’est pas la première fois que je lis ça dans les commentaires et c’est pas la première fois que je réponds. Il serait temps de vous mettre à jour les gars !



La Loi pour la confiance dans l’économie numérique du 21 juin 2004 permet à n’importe qui, particuliers comme entreprises, d’utiliser n’importe quel moyen de chiffrement, y compris les plus élevés, sans devoir rendre de compte à personne. En gros on peut tout chiffrer comme on veut.







En revanche si tu refuse de donner la clé à la justice en cas d’enquête, tu prend tarif…









Charly32 a écrit :



En revanche si tu refuse de donner la clé à la justice en cas d’enquête, tu prend tarif…





Le tout étant de jouer avec des systèmes de coffre à double fond où une autre clé donne une autre contenu. Et là, tant que la justice ne met pas la main sur la première clé… Les données sont inaccessibles.



Bon, après, ça marche pas bien sur le net cette ruse là, mais pour les supports physiques c’est magique.





et la confidentialité persistante



<img data-src=" />

Très peu répandue malheureusement.

Google s’y est mis le 1er en 2011 (avec RC4_128 mais personne n’est parfait), Facebook et Twitter ont suivi tout récemment en 2013.

Et c’est tout. Les autres (banques, achats en ligne…) ne font rien à ce sujet.




Nous ferons remarquer, comme dans le cas de Yahoo d’ailleurs, qu’il est dommage que Microsoft ait attendu qu’éclate un scandale pour que le chiffrement des données devienne la règle pour l’ensemble des transmissions.



Oué enfin la puissance de calcul utilisé pour le chiffrement est de la perte sèche, et coute entre 2 et 5% des ressources de la machine entrante et de celle sortante…








Charly32 a écrit :



En revanche si tu refuse de donner la clé à la justice en cas d’enquête, tu prend tarif…



La seule chose que tu as, ce sont des enquêteurs pas contents. Tu as le droit de te taire pour ne pas t’incriminer toi-même je te rappelle. C’est à l’accusation de se démerder, pas à toi de leur mâcher le boulot.









patos a écrit :



La seule chose que tu as, ce sont des enquêteurs pas contents. Tu as le droit de te taire pour ne pas t’incriminer toi-même je te rappelle. C’est à l’accusation de se démerder, pas à toi de leur mâcher le boulot.







Il me semble que ça s’appelle “entrave à la justice”



http://www.artiflo.net/2011/02/la-loi-truecrypt-et-le-chiffrement-de-disque-en-f…



Ha Microsoft où comment profiter de l’affaire snowden pour tacler la concurrence.



Google n’a aucun intérêt à chiffrer gmail et google drive, c’est leur fond de commerce.


Excellente nouvelle. Voici qui garantira que seule la NSA, détentrice des clés de chiffrement, écoutera le contenu des mails live/hotmail, des communications Skype, des requêtes envoyées à bing (y compris par l’écran de démarrage de WIndows ou la barre d’adresses d’IE), des données envoyées vers ou reçues de Skydrive, des achats réalisés sur l’appstore et de toutes les données synchronisées par les applications Modern UI.



MS et les autres mettent un gros doigt à la DGSE et aux autres agences qui voulaient imiter la NSA. Tout le monde devra passer par la NSA notre agence Big Brother bien-aimée de surveillance mondiale omniprésente et omnisciente.



PS : pensez à équiper votre caméra de surveillance personnelle avant de sortir.



<img data-src=" />




La généralisation du chiffrement pour tout transfert de données entre le client et Microsoft,



Et ben ça va être sympa la prochaine version du partage SAMBA / CIFS…








tybreizh a écrit :



pour moi c’est du vent, ils peuvent mettre en place la sécurité la plus haute du monde, si la NSA dit “donne moi les cles” ils la donneront, donc la sécurité n’est pas assurée.







+1





D’ailleurs quid des entreprises utilisant des cles à chiffrement importantes en France ? Pour un particulier, il me semble qu’au dela d’une limite, il faut les fournir à l’état.





-1



Donc au total, ça fait ZERO.









Bejarid a écrit :



Attention, tu n’a pas lu les commentaires de la dite news.



Va lire les commentaires (ou la même news sur d’autres sites plus sérieux que PCI) et tu verras qu’il ne s’agit pas d’une faille d’exchange, mais d’une utilisation stupide du client mail d’iOS (qui de base est tout sauf sécure…).



Jamais Exchange n’a été mit en cause (sauf par PCI) ! Si Exchange avait une faille de cette taille ça se serait su…





Non, j’avais pas tout lu les 10 pages de commentaires.



Merci de me reprendre. Par contre je pense vraiment que c’est faille de conception, on ne devrait pas passer outre facilement ce type d’avertissement.



Je rejoins le commentaire de neves

http://www.pcinpact.com/news/84547-un-hacker-accede-aisement-aux-emails-deputes-…









nikito a écrit :



Ha Microsoft où comment profiter de l’affaire snowden pour tacler la concurrence.



Google n’a aucun intérêt à chiffrer gmail et google drive, c’est leur fond de commerce.





MS, Yahoo, Google et compagnie vont chiffrer les connexions. Et sur ce point Google a de l’avance, il le font déjà depuis quelques années

https://blog-du-grouik.tinad.fr/post/2012/12/06/S%C3%A9curiser-ses-mails,-choisi…

https://blog.mozilla.org/privacy/2012/05/07/rolling-out-https-google-search/

Firefox, Opéra et Chrome peuvent même se souvenir qu’il faut toujours se connecter à un site en sécurisé:

http://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Navigateurs_supporta…





Le chiffrement des données par MS sera que pour ceux qui les payent et j’imagine que Google propose la même chose.



Ils auront bon chiffrer tout de A à Z ça ne changera rien aux interceptions vu que la NSA et Cie ont accès direct aux tuyaux principaux…



On tourne autour du pot et on essaie d’enfumer le client un peu plus…



<img data-src=" />









Soriatane a écrit :



Non, j’avais pas tout lu les 10 pages de commentaires.



Merci de me reprendre. Par contre je pense vraiment que c’est faille de conception, on ne devrait pas passer outre facilement ce type d’avertissement.



Je rejoins le commentaire de neves

http://www.pcinpact.com/news/84547-un-hacker-accede-aisement-aux-emails-deputes-…





Je ne sais pas de quel comentaire de Neves tu parles mais autant sur le PEBKAC de l’utilisateur je suis d’accord autant sur le

La spec précise donc qu’on n’est même pas obligé de passer en SSL. Je n’ai pas trouvé d’info sur le comportement qu’il faut avoir quand le certificat est invalide, mais je n’ai pas cherché beaucoup, c’est peut être précisé quelque part. Si tu veux vraiment blâmer quelqu’un ici, en dehors des utilisateurs, c’est le protocole, et non les clients qui l’implémentent (jusqu’à preuve qu’ils l’implémentent mal, bien sûr).

je ne suis pas d’accord.



Le protocole permet d’avoir des connexions sécurisés (les admins ont du activé cette sécu) … Le client iOS autorise un certificat non-valide et l’utilisateur valide l’operation …



En Http aussi on a le choix ou non d’être sécurisé … Le protocole n’est pas mauvais.









Soriatane a écrit :



MS, Yahoo, Google et compagnie vont chiffrer les connexions. Et sur ce point Google a de l’avance, il le font déjà depuis quelques années

https://blog-du-grouik.tinad.fr/post/2012/12/06/S%C3%A9curiser-ses-mails,-choisi…

https://blog.mozilla.org/privacy/2012/05/07/rolling-out-https-google-search/

Firefox, Opéra et Chrome peuvent même se souvenir qu’il faut toujours se connecter à un site en sécurisé:

http://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Navigateurs_supporta…







Le tacle n’est pas sur le chiffrement de la connexion. Google est en avance, on est d’accord la dessus. Mais pas sur le chiffrement des données.







Soriatane a écrit :



Le chiffrement des données par MS sera que pour ceux qui les payent et j’imagine que Google propose la même chose.





Ca je ne l’ai pas vu dans la news












nikito a écrit :



Le chiffrement des données par MS sera que pour ceux qui les payent et j’imagine que Google propose la même chose.





Ça je ne l’ai pas vu dans la news












Que cela soit MS, Apple, Yahoo, Google, Twitter & Co tant que l’on a pas un accès direct à leur serveur on ne peux jamais être sur que le chiffrement des données soit effectif. Donc seuls ceux qui payent et donc peuvent exiger un accès direct sur l’ordinateur pourront se voir garantir le chiffrement et le contrôle des personnes qui accèdent à ces données chiffrées.



Le reste c’est que des promesses qui n’engagent que ceux qui veulent bien y croire.



Mais la NSa a les clés, ça changera quoi ?








Jarodd a écrit :



Mais la NSa a les clés, ça changera quoi ?





Rien, ms fait de la merde, les haters rient, ms fait quelque chose de pas trop mal les même vont encoe trouver à critiquer … <img data-src=" />