Les diverses révélations autour de la surveillance imposée par le NSA et les agences équivalentes dans les autres pays ont jeté un épais nuage sur les entreprises procurant des services en ligne. Complices volontaires, victimes ? Un très long article du magazine Wired a justement tâché de faire le point sur cette problématique.
Crédits : Jef Pearlman, licence Creative Commons
Les acteurs du cloud au centre de la polémique
Apple, Facebook, Microsoft ou encore Yahoo ont très vite été concernées par les toutes premières révélations au sujet des programmes de surveillance américains. Mis en place essentiellement par la NSA, ils ont été largement décrits dans des documents dérobés par Edward Snowden. Des documents qui ont par la suite atterri entre les mains de plusieurs journalistes, notamment Glenn Greenwald du journal anglais The Guardian, ainsi qu’à d’autres rédactions telles que le New YorkTimes, le Washington Post ou encore Der Spiegel en Allemagne.
Les réactions de ces grandes entreprises ont été variées mais ont toutes plus ou moins suivi la même courbe. Elles avaient dans un premier temps un air légèrement affolé, se dépêchant de nier une participation volontaire. Lorsque Barack Obama prit cependant la parole pour la première fois à ce sujet, il ne renia pas cette surveillance, mais condamna l’action de Snowden tout en indiquant que les citoyens américains n’avaient rien à craindre. Mais le mal était déjà fait puisque la grande majorité des utilisateurs des services de ces entreprises se trouve dans le reste du monde.
Une question de confiance
Car la problématique principale a tourné rapidement autour de la confiance. Un thème que la commissaire européenne Viviane Reding avait parfaitement résumé dans une lettre adressée au ministre américain de la Justice, Eric Holder. Elle le mettait en garde contre l’obligatoire impact négatif qui ne manquerait pas d’avoir lieu sur les finances de grandes entreprises si la confiance des partenaires venait à être émoussée.
C’est là toute la question pour ces sociétés : que faire pour ne pas perdre la confiance des utilisateurs, aussi bien dans le grand public que dans le monde professionnel ? Toutes les stratégies de développement sont liées au cloud désormais. Or, l’informatique dans le nuage repose sur un postulat particulièrement simple : l’utilisateur doit confier ses données. Un acte auquel beaucoup réfléchissent désormais à deux fois, ne sachant plus exactement à quel saint se vouer.
« Quelqu’un va-t-il nous croire ? »
Steven Levy, du magazine Wired, a pris la température de ces entreprises en discutant avec quelques responsables, certains tenant d’ailleurs à rester anonymes. L’un de ces derniers a par exemple résumé très facilement le problème de la confiance : « Chaque fois que nous parlions, il semblait que les choses empiraient. Nous n’étions tout simplement pas pris au sérieux ». Un constat globalement partagé par Michael Buckley, directeur de la communication chez Facebook : « Le fait est que le gouvernement ne peut pas remettre le génie dans la lampe. Nous pouvons publier des communiqués et des statistiques, mais à la lumière de ce qui semble être des révélations hebdomadaires, la question est : quelqu’un va-t-il nous croire ? ».
Et soudainement, les discours commerciaux indiquant que ces entreprises n’existeraient pas sans la confiance de leurs utilisateurs prennent un sens nouveau. La réalité pour ces sociétés se trouve en fait quelque part entre l’obligation légale de donner les informations demandées, surtout avec un tribunal secret avalisant la plupart des requêtes (la FISC), et la participation volontaire et automatisée qui a tant été niée. Dans la pratique, il semble effectivement ressortir que les entreprises n’ont pas participé de cette manière, mais la réponse définitive et claire ne sera probablement jamais obtenue sur cette question. Comme le fait remarquer l’un des responsables anonymes, il est difficile de refuser posément des requêtes du gouvernement tout en cherchant à obtenir de lui des contrats de 400 millions de dollars. Il existe dans tous les cas une terra incognita entre la transparence dont veulent faire preuve les entreprises et les agences de renseignement qui, elles, opèrent dans l’ombre.
Une année 2014 charnière
Aujourd’hui, il semble que la NSA prend par la force ce qu’elle ne pourrait pas obtenir autrement. Il s’agit de l’aspect le plus récent des conséquences car toutes ces entreprises prennent actuellement le même type de décision : passer au chiffrement intégral des données. Car l’agence ne compte visiblement pas arrêter sa surveillance des services les plus populaires, comme l’a confirmé un responsable de l’agence : « Gmail est le plus populaire des services email chez les terroristes dans le monde. Yahoo est en deuxième place. Ce n’est pas parce que Google et Yahoo sont diaboliques, mais parce qu’elles offrent un très bon service ».
Pour la NSA, le défi sera de s’adapter à la situation. Rien ne dit en effet qu’un chiffrement intégral bloquera la capacité de l’agence à piocher des informations, mais le travail lui coûtera nettement plus cher en ressources informatiques. Une chose est certaine dans tous les cas : le paysage de la sécurité va globalement beaucoup évoluer durant l’année 2014.
