Microsoft affirme ne pas donner ses clés de chiffrement à la NSA

Lors de sa Worldwide Partner Conference, Microsoft est revenu sur un sujet particulièrement sensible : la surveillance des données. La firme a réaffirmé son engagement pour la défense de la vie privée, mais cette posture est de plus en plus difficile à tenir tandis que les documents d'Edward Snowden deviennent peu à peu publics.

Source : Neowin

Communiquer, encore, toujours, davantage 

Microsoft n’en est pas à sa première communication sur le thème de la sécurité. Les premières révélations sur le programme Prism de la NSA, révélés il y a plus d’un an, ont rapidement affecté les grandes entreprises du cloud, la firme de Redmond ayant été d’après les documents la première à accepter une liaison avec l’agence. On ne sait pas exactement quels en sont les détails car les documents suggèrent un lien direct tandis que les entreprises ont toutes été très claires sur ce point : elles ne transmettent des informations qu’en réponse à une demande écrite et valide, et seulement après examen.

C’est cette communication qui est devenue une arme stratégique, ou plutôt une défense, car les révélations successives permises par Edward Snowden ont effrité une partie de la confiance des utilisateurs. Les entreprises reviennent donc régulièrement sur ce thème, surtout Microsoft, qui en a fait l’un de ses chevaux de bataille. Dans un domaine connexe, la firme se bat ainsi contre un juge de New York qui exige les données d’un utilisateur situées dans un serveur en Irlande. Les imbroglios juridiques potentiels sont réels, mais la communication qui en découle, avec interpellation du public, ne peut être que bénéfique pour Microsoft.

Microsoft insiste : pas de portes dérobées dans ses produits  

La Worldwide Partner Conference, qui se tient en ce moment à Washington, est l’occasion de revenir une fois de plus sur le sujet. La firme n’a pas le choix à vrai dire : les plus récentes informations diffusées à son encontre montrent comment elle a incorporé un nombre croissant de protections sur ses services, tout en préparant le terrain pour que la NSA puisse continuer à faire son travail. De fait, l’éditeur a augmenté récemment le niveau de chiffrement des échanges sur Outlook.com et OneDrive, en ajoutant même une confidentialité persistante, mais ces annonces sont directement remises en cause par les anciens documents de Snowden.

Kevin Turner, l’un des responsables de la firme, a donc abordé la sécurité des données et le respect de la vie privée devant l’auditoire. Il tenait en particulier à insister sur un point précis : Microsoft ne crée pas de portes dérobées dans ses produits. L’entreprise dément donc catégoriquement les informations contenues dans les documents de Snowden, alors même que l’on sait que la NSA a fait des portes dérobées et des failles de sécurité une véritable spécialité. Turner insiste d’autant plus sur les « backdoors » que le premier centre de la firme dédié à la transparence a ouvert ses portes à Seattle : les gouvernements peuvent s’y inscrire et accéder au code source des produits principaux de Microsoft, dont Windows.

La firme ne donne pas les clés de chiffrement à la NSA 

Turner a également affirmé que Microsoft ne donnait pas les clés de chiffrement à la NSA. Une réponse directe aux accusations actuelles, directement liées là encore aux informations de Snowden. Et non seulement les clés ne sont jamais données, mais Turner ajoute que jamais aucune demande concernant un gouvernement ou une entreprise n’a été prise en compte. Le responsable intervient sur un point crucial et lié directement au degré de confiance que ses clients lui accordent : la NSA pourrait-elle obtenir des informations sensibles sur une entreprise ou un gouvernement puis les utiliser à d’autres fins que la lutte antiterroriste ?

Ce discours arrivait à point nommé, la WPC étant le plus grand rassemblement de partenaires de Microsoft au cours de l’année. La firme semble avoir décidé véritablement de se battre contre tout ce qu’elle estimera hors champs et menaçant pour sa propre activité commerciale. Désormais, la défense du chiffre d’affaires passe obligatoirement par une prise de position franche dans le domaine du respect de la vie privée et de la sécurité. Mais Microsoft peut-elle vraiment faire quelque chose ?

L'éditeur peut-il vraiment y faire quelque chose ? 

Microsoft est en effet une entreprise américaine, et comme toute structure commerciale dans ce pays, elle est soumise à certaines lois bien précises. C’est notamment le cas de la loi FISA (Foreign Intelligence Surveillance Act) qui permet aux agences de sécurité de récupérer les données personnelles étrangères quand elles transitent par des serveurs américains, et ce de manière automatisée. Microsoft, tout comme Google, Facebook, Apple, Yahoo ou encore LinkedIn, peut résister à une requête en menant l’affaire devant les tribunaux, mais la plupart des litiges en la matière sont gérés par la FISC (Foreign Intelligence Surveillance Court), qui accorde à la NSA la plupart de ses demandes.

Il est toutefois difficile de déterminer ce qui se passe dans la zone d’ombre qui s’étend entre les obligations légales de la firme, et son discours désormais très tranché sur le respect de la vie privée.