Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Microsoft n'a pas besoin de mandat pour fouiller les emails de ses comptes

Si si, c'est écrit dans les conditions

Comme nous l’avons vu en fin de semaine dernière, un employé de Microsoft a été arrêté pour avoir volé et diffusé des secrets commerciaux, sous la forme notamment de préversions de Windows 8. Un grand nombre de ces informations a transité vers un blogueur français. Or, la firme a avoué qu’elle avait bien fouillé dans les emails de ce dernier, soulevant des questions sur le respect de la vie privée et l'absence d'intervention d'un juge.

outlook.com

Un compte Microsoft ouvert dans Outlook.com, anciennement Hotmail

 

Alex Kibkalo a été arrêté mercredi dernier à la suite d’une enquête du FBI pour vol de secrets commerciaux. On sait d’après les documents officiels qu’il a notamment provoqué la fuite de préversions de Windows 7 et 8, ainsi que d’une copie de l’Activation Server Software Development Kit (ASSDK), qui permet la vérification des clés d’installation de Windows. Un blogueur français a été le principal bénéficiaire de ces informations et beaucoup regardent en direction de Canouna, auteur du blog WinUnleaked.tk, dont les informations étaient particulièrement précises. Kibkalo est également accusé d’avoir cherché à vendre des clés d’activation de Windows sur eBay.

Un processus décisionnel strictement interne 

L’ironie, pour Kibkalo, est que c’est ce blogueur qui a involontairement provoqué sa « chute ». En possession de l’ASSDK, le Français s’est en effet tourné vers un autre employé de Microsoft pour en contrôler l’authenticité. Ce dernier a informé directement la direction qui, elle, a confié la mission à la division Trustworthy Computer Investigations (TWCI) de vérifier la légitimité du kit et de chercher l’origine de la fuite.

 

C’est ici qu’intervient l’examen du compte Hotmail que le blogueur français a utilisé pour contacter le deuxième employé de Microsoft. Un compte rempli de fausses informations, mais la firme souhaitait examiner les emails eux-mêmes. Pour ce faire, la division TWCI a demandé l’autorisation à l’Office of Legal Compliance (OLC) de procéder à l’opération. Ce dernier vérifie la conformité de ce type d’action avec la loi ainsi que les conditions d’utilisation. Et justement, ces dernières prévoient un tel cas de figure dans la section 5.3.

 

microsoft conditions service

 

Seulement voilà. Prévoir un tel cas de figure et l’utiliser véritablement, tout en le confirmant ouvertement, est une toute autre paire de manches. Le sujet est d’autant plus sensible qu’il prend place dans un monde post-Snowden et quelques jours à peine après que la NSA a révélé que le programme Prism non seulement existe bien, mais que les grandes entreprises du cloud étaient au courant et aidaient l’agence de sécurité.

« Lorsque Microsoft estime en toute bonne foi que cela est nécessaire... »

Dans un commentaire apporté à Ars Technica, Microsoft explique son point de vue sur la situation : « Durant une enquête portant sur un employé, nous avons découvert la preuve qu’il diffusait de la propriété intellectuelle, dont du code relatif à notre processus d’activation, à un tiers. Afin de protéger nos clients, la sécurité et l’intégrité de nos produits, nous avons conduit une enquête sur de nombreux mois avec les organismes chargés de l’application de la loi dans de multiples pays. Cela comprenait l’émission d’un mandat pour la recherche de preuves dans un domicile en liaison avec les actes criminels constatés. L’enquête a permis de trouver à plusieurs reprises des preuves formelles que le tiers impliqué comptait vendre de la propriété intellectuelle de Microsoft et qu'il l’avait déjà fait par le passé ».

 

Et la firme de continuer, avec précaution : « Dans notre enquête, nous avons procédé à un examen limité des comptes Microsoft de la personne tierce. Bien que les conditions d’utilisation de Microsoft autorisent expressément ce genre de vérification, cette dernière ne survient qu’en cas de circonstances exceptionnelles. Nous appliquons un processus rigoureux avant d’examiner un tel contenu. Dans ce cas, il y a bien eu un examen rigoureux par une équipe juridique indépendante de l’équipe d’enquête et de fortes preuves d’un acte criminel qui nécessitait un mandat pour chercher dans d’autres sites ».

 

Même si la communication se fait plus soignée et que la propriété intellectuelle de Microsoft a bien été atteinte, la firme ne peut pas empêcher une mauvaise image de se mettre en place car aucun mandat n’a été utilisé pour la recherche sur le compte email du blogueur. Et si elle peut chercher dans les comptes sans intervention d’un juge, le danger est de donner l’apparence d’une entreprise qui se fait elle-même justice, même si le FBI était bien impliqué depuis le début.

Un processus plus clair mais toujours sans intervention extérieure de la justice 

Et c’est précisément parce que Microsoft est consciente de la corde raide que représente le respect de la vie privée aujourd’hui qu’elle a réagi une deuxième fois. Elle explique ainsi qu’aucun mandat n’est nécessaire pour conduire une recherche interne mais que les circonstances de ce cas étaient exceptionnelles. La firme va cependant mettre en place une chaine décisionnelle plus claire pour savoir si, oui ou non, elle doit mener une telle recherche :

  • L’examen par l’équipe juridique, indépendant de l’équipe d’enquête, ce qui est déjà le cas actuellement.
  • En cas de feu vert, le dossier sera transmis à un avocat et ancien juge, extérieur à l’entreprise, pour examen et comparaison avec des affaires similaires qui, dans de semblables circonstances, nécessiteraient un mandat dans une enquête classique.
  • En cas de second feu vert, la recherche aura lieu.

Microsoft précise toutefois qu’exception faite des recherches qui pourraient avoir lieu sur ses propres employés, toutes les enquêtes internes seront notées dans les rapports semestriels de transparence, les mêmes qui contiennent déjà les informations sur les demandes des agences de renseignement.

 

Mais Microsoft aura beau vouloir se montrer plus claire sur ce type de processus, elle ne peut pas masquer le fait qu’elle peut fouiller dans les comptes sans intervention d’un juge, puisque seul ce dernier est garant de l’indépendance de la justice. Le processus de vérification passe en effet par une équipe différente mais toujours interne, et l’ancien juge consulté facture évidemment ses honoraires à Microsoft.

L'EFF fustige un « tribunal interne de l'ombre » 

L’Electronic Frontier Foundation (EFF) s’engouffre dans ce vide en accusant Microsoft d’avoir préféré un « tribunal interne de l’ombre » à une solution plus classique : « Si l’équipe juridique indépendante de Microsoft avait conclu à une cause probable, elle aurait pu passer les informations au FBI pour obtenir une mandat et conduire l’enquête sous les auspices du système de justice. Ces protections, entérinées par la Constitution, seraient préservées ». L’EFF souligne également que la firme aurait satisfait aux règles de l’ECPA (Electronic Communications Privacy Act) et aurait ainsi pu ressortir auréolée d’une grande morale.

 

La fondation n’est que peu sensible aux mesures que Microsoft mettra en place. Qu’un ancien juge donne son opinion et valide un dossier ne remplace pas un juge qui, lui, est un « magistrat neutre et détaché » qui ne facture en outre rien à Microsoft. Et non seulement la firme violerait le quatrième amendement de la Constitution américaine, mais l’EFF craint également qu’elle pourrait abuser sa propre équipe juridique en orientant le dossier selon un langage spécifique.

 

Pour la fondation, Microsoft joue donc avec le feu. Et si la firme communique abondamment sur le sujet depuis les révélations initiales du Seattle PI, c’est que le vol des secrets commerciaux par Alex Kibkalo n’est pas le seul aspect de l’affaire. Cette dernière révèle selon l’EFF comment une entreprise peut finalement se faire elle-même justice, qu’elle dispose d’une équipe juridique ou pas : même si les preuves sont évidentes et manifestes, il n’y a aucune intervention de la justice. Et les retombées en termes d’image pourraient être d’autant plus importantes que le respect de la vie privée est depuis des années le cheval de bataille dans la campagne de Microsoft contre Google.

110 commentaires
Avatar de Texas Ranger INpactien
Avatar de Texas RangerTexas Ranger- 24/03/14 à 10:37:02

Signaler ce commentaire aux modérateurs :

à force on va tous s'acheter un serveur dédié et y installer un serveur mail sous le port 465

Avatar de knos Abonné
Avatar de knosknos- 24/03/14 à 10:37:26

Signaler ce commentaire aux modérateurs :

Les CGU CGV ou l'art de faire ce qu'on veux comme on veux.

Faudrait surtout une loi pour que les conditions particulière soit clairement détailler.

Parce que si javais lus tout les CGU CGV de tout les sites et logiciel ou je me suis inscris et que j'ai installé je crois que je serais toujours pas sur PCI

Avatar de k-raf INpactien
Avatar de k-rafk-raf- 24/03/14 à 10:45:28

Signaler ce commentaire aux modérateurs :

Pourtant il faut les lires les CGU/CGV, c'est primordial !
http://www.youtube.com/watch?v=sglZGSwK6ow

Avatar de Parkkatt INpactien
Avatar de ParkkattParkkatt- 24/03/14 à 10:47:17

Signaler ce commentaire aux modérateurs :

Arrêtez de faire vos vieux réac' ... Y'a rien de scnadaleux, et c'est pareil chez tout le monde de Microsoft à Google, en passant par Free et Orange.

Avatar de Texas Ranger INpactien
Avatar de Texas RangerTexas Ranger- 24/03/14 à 10:48:21

Signaler ce commentaire aux modérateurs :

k-raf a écrit :

Pourtant il faut les lires les CGU/CGV, c'est primordial !
http://www.youtube.com/watch?v=sglZGSwK6ow

merci de préciser que c'est dégueu

Avatar de gogo77 INpactien
Avatar de gogo77gogo77- 24/03/14 à 10:51:59

Signaler ce commentaire aux modérateurs :

Parkkatt a écrit :

Arrêtez de faire vos vieux réac' ... Y'a rien de scnadaleux, et c'est pareil chez tout le monde de Microsoft à Google, en passant par Free et Orange.

Sous prétexte que tout le monde a des pratiques douteuses, ça n'a rien de scandaleux? Libre à toi de trouver ça normal qu'on ne puisse faire confiance à ceux à qui on confie des données personnelles.

Édité par gogo77 le 24/03/2014 à 10:52
Avatar de jeje07 INpactien
Avatar de jeje07jeje07- 24/03/14 à 10:53:40

Signaler ce commentaire aux modérateurs :

Parkkatt a écrit :

Arrêtez de faire vos vieux réac' ... Y'a rien de scnadaleux, et c'est pareil chez tout le monde de Microsoft à Google, en passant par Free et Orange.

super réflexion..... sous prétexte que c'est pareil chez d'autres tu en conclus qu'il n'y a rien de scandaleux????

vie privée tout ca....... ca te parle???

personne ne devrait avoir accès a des mails sans une décision de la justice

Avatar de agauthier51 INpactien
Avatar de agauthier51agauthier51- 24/03/14 à 10:57:51

Signaler ce commentaire aux modérateurs :

Texas Ranger a écrit :

à force on va tous s'acheter un serveur dédié et y installer un serveur mail sous le port 465

J'ai déjà un Synology DS410 avec le mail (et trop d'autres choses) paramétré dessus pour un usage familial. Devant l'accroissement de la demande familiale, voici mon programme de mise à jour:
* Migration des données du DS410 à un nouveau DS414
* Location d'un Kimsufi OVH comme portail mail/web, Owncloud, SQL...
* Redirect des services "Stockage étendu" du Syno vers le Kimsufi (DS Video/Audio)
* Reinit du DS410 et recyclage comme stockage pour les backups.

Bien entendu tout se fera avec identification et https.

Côté réseau, VPN et firewall ça va, je butte un peu sur la synchro OpenLDAP entre Syno et Kimsufi, de mes essais du weekend. Du coup j'hésite à passer le Kimsufi en Serveur "AD" sous samba4 et simplement inscrire les Synos dans l'AD. Mais je ne sais pas si les Synos font une copie locale des infos de l'AD comme un serveur secondaire classique (c'est mon but pour avoir une réplication locale des informations d'authentification).

En bref, je m'amuse bien

Avatar de kade Abonné
Avatar de kadekade- 24/03/14 à 10:59:07

Signaler ce commentaire aux modérateurs :

J'ai, par précaution, ouvert un autre compte Hotmail (paul.bismuth@hotmail.com).
On sait jamais

Avatar de Ballos INpactien
Avatar de BallosBallos- 24/03/14 à 11:01:27

Signaler ce commentaire aux modérateurs :

you've been Microscroled...
Au moins ils sont honnête, chaque fois qu'ils suspecte un crime, ils ouvriront les emails. Bon bien sur c'est pas des agents de police, mais bon c'est juste un détail selon moi, ils assurent la sécurité du peuple...

kade a écrit :

J'ai, par précaution, ouvert un autre compte Hotmail (paul.bismuth@hotmail.com).
On sait jamais

Attention l'usurpation d'identité est puni d'un an d'emprisonnement depuis les loi loopsi 2 (validé sous nicolas 1er)

Édité par Ballos le 24/03/2014 à 11:03
Il n'est plus possible de commenter cette actualité.
Page 1 / 11