Le cloud S3NS, fruit d’un partenariat entre Google et Thales, est dans la ligne de mire de Philippe Latombe. Après avoir alerté la CNIL et l’Anssi, le député MoDem a écrit à la DGCCRF et l’Autorité de la concurrence pour dénoncer encore et toujours une « tentative d’enfumage », une insécurité juridique liée au Cloud Act, ou le risque de backdoor. Next INpact diffuse ces deux courriers.
L’auteur du rapport d’information sur la souveraineté du numérique remet « une pièce dans la machine ». Après avoir interpellé la CNIL et l’Agence nationale sur la sécurité des systèmes d’information, interpellé le gouvernement, il met en cause le projet Thales et Google aux oreilles de Bercy et du gendarme de la concurrence.
Dans le viseur, S3NS, cette société de droit français créée par Thales, suite au partenariat passé avec Google Cloud en octobre 2021. « S3NS proposera dès le deuxième semestre 2024 son offre de Cloud de confiance qui conjuguera la puissance du cloud de Google, l’étendue de son offre de services et d’applications et ses performances d’hyperscaler », prévenait le mois dernier le communiqué commun.
« Des infrastructures et données localisées en France, physiquement et logiquement séparées de Google Cloud Plateforme et opérées par des citoyens français », ajoute le site officiel S3NS.io. Une infrastructure où les données seront hébergées en France « dans les datacenters Google ».
Une « tentative d’enfumage »
Ces arguments n’ont pas vraiment convaincu le député de la Vendée qui dans ses deux nouveaux courriers dénonce une « tentative d’enfumage » dans l’expression même de « Cloud de confiance » qu’on retrouve dans plusieurs des pages du site.
Enfumage ? « L'expression "Le Cloud de confiance" pose le risque d'induire les acheteurs en erreur sur le caractère exclusif de cette offre eu égard au "label Cloud de confiance" annoncé par le gouvernement dans le cadre de sa stratégie nationale pour le Cloud, annoncée le 17 mai 2021 », fustige Philippe Latombe.
Selon lui, S3NS irait jusqu’à jouer sur la ponctuation pour mélanger un peu plus les genres (« Le Cloud. De Confiance. Pour la France », visible dès la page d’accueil de S3NS.io). « Ce qui pourrait apparaître de prime abord comme une simple maladresse ou un manque d’inspiration se comprend plus comme une tentative d’enfumage, surtout quand on pousse un peu plus loin la lecture ».
Par exemple, s’agissant de l’hébergement des données promis en France, Philippe Latombe relève que « Google ne dispose pas de ses propres datacenters en France, mais loue des espaces dans des datacenters de tiers américains, ce qui pose la question de la réelle transparence de Google quant à l'architecture technique projetée ».
Selon la carte de localisation des infrastructures du géant américain, des centres de données sont aujourd’hui installés en Irlande, aux Pays-Bas, au Danemark, en Finlande, et en Belgique.
Le 30 juin dernier, Google a cependant inauguré « europe-west 9 », sa région France de Google Cloud, avec trois data centers en Île-de-France. S3NS assure en outre que « la localisation des données et des charges de travail sera assurée en France, dans les trois datacenters opérés directement par S3NS ».
Copie de la lettre adressée à la DGCCRF
Cloud de confiance et SecNumCloud
Cette offre S3NS décollera au deuxième semestre 2024. Elle « a pour objectif d’être conforme aux exigences du label SecNumCloud qui s’inscrit dans la stratégie cloud de confiance de l’État et assurera l’indépendance face aux lois extraterritoriales » promet Thales.
Philippe Latombe regrette néanmoins que ces deux acteurs annoncent prématurément la disponibilité d’une telle offre future « pour, de leur propre aveu, encourager les clients à signer d'ores et déjà un contrat de services d'hébergement basé sur Google Cloud, sans les garanties de sécurité et les garanties juridiques de la qualification SecNumCloud ».
Pour l’élu, « les clients des hébergeurs français déjà qualifiés SecNumCloud sont donc sollicités par Google sur la base d'une hypothétique offre future, très incertaine à ce stade, malgré les affirmations qui leur sont répétées ».
S’agissant des garanties juridiques, l’extraterritorialité du Cloud Act est au cœur de ses préoccupations. Ce « Claryfying Lawful Overseas Use of Data Act » est une loi américaine de mars 2018.
Avec ce texte, « tous les fournisseurs de services de communications électroniques et les prestataires d'informatique en nuage relevant de la juridiction des États-Unis peuvent faire l'objet d'une demande de gel et de communication des données d'un de leurs utilisateurs (…), et ce sans considération du fait que ces données soient localisées à l'intérieur ou à l'extérieur des États-Unis » résumait ce rapport sénatorial sur le devoir de souveraineté numérique publié en octobre 2019.
Le livre blanc édité par S3NS met toutefois l’accent sur un contrôle cryptographique dans l’accès aux données combinant « utilisation de justifications d'accès aux clés (Key Access Justifications) avec le support par Google Cloud d’un gestionnaire de clés externes (External Key Manager) ».
Ce Key Access Justifications « permet aux utilisateurs de refuser aux administrateurs Google Cloud l'accès à leurs données sans raison particulière, même dans des situations généralement exemptées du contrôle du client, telles que des pannes ou des réponses à des demandes de données de tiers ».
Ainsi, assure Thales, « il n'y a aucun moyen direct pour Google Cloud de déchiffrer les données client au repos sans approbation, cette approbation pouvant être refusée sans raison particulière ».
Copie de la lettre adressée à l'Autorité de la concurrence
Les interrogations de Philippe Latombe débordent également sur l’audit du code source fourni par Google. « Il a été évoqué trois jours de décalage entre l'offre publique officielle de Google Cloud et celle de S3NS, pour permettre à Thales d'effectuer les contrôles de sécurité. Or ce délai sera très insuffisant si Google envoie d'un seul coup l'équivalent de plusieurs mois de travail de centaines d'ingénieurs ».
Dans un tel cadre, anticipe le parlementaire, « quelle protection contre les backdoors pour éviter que les services américains ne bénéficient d'un accès détourné aux données hébergées ? ».
À la porte de l’Autorité de la concurrence, il dénonce une pratique anticoncurrentielle. Devant celle de la DGCCRF, des faits de tromperie et autres pratiques commerciales déloyales. Des défaillances liées, à ses yeux, au fait de « promettre un produit qui n’existe pas encore et dont la conformité à une qualification existante, en l’occurrence SecNumCloud, est loin d’être avérée à terme, afin de capter une clientèle au détriment de concurrents qui eux présentent déjà toutes les garanties ».
Contacté, le groupe Thales nous assure que sur le volet stratégique, « S3NS fournira bien (dès 2024) une offre visant le label SecNumCloud pour un cloud de confiance. Il n’y a pas d’ambiguïté. Cette offre est construite spécifiquement dans le but d’obtenir ce label ».
Sur la question des codes, du risque de backdoors et de la localisation des données, « Thales pourra auditer tout code qu’il souhaite inspecter pour la solution visant le label SecNumCloud, il n’y a pas de restriction de Google ».
Le groupe répète qu’il proposera bien d’ici deux ans « une offre conforme aux exigences SecNumCloud de l’ANSSI, plus haut niveau de sécurité pour données non classifiées défini par l’ANSSI ». En outre, S3NS « n’a pas pour objectif d’héberger des données classifiées (e.g. Secret, anciennement "Confidentiel Défense"), pour lesquelles les solutions adaptées doivent répondre à d’autres exigences ».
De plus, un « ensemble de mesures de sécurité, conformes aux exigences SecNumCloud et complémentaires entre elles, ont été définies - notamment l’isolation physique et logique des données (en Île-de-France), le chiffrement, le contrôle des mises à jour, l’audit du code source, la supervision par des sondes et un Security Operations Center (SOC) Thales qualifiés par l’ANSSI, etc. de sorte que nous offrirons le plus haut niveau de protection contre le Cloud Act certifié par le label SecNumCloud ».
Circulation des données et confiance
De son côté, le Cigref accueille avec intérêt l’arrivée de S3NS « comme toute initiative de nature équivalente permettant de renforcer la capacité des entreprises et des administrations publiques à protéger leur patrimoine informationnel sensible tant vis-à-vis de la cybercriminalité que des activités de renseignement ».
L’association des grandes entreprises et administrations publiques françaises profite néanmoins de cette fenêtre pour rappeler que « le cloud, dans sa dynamique exponentielle sur le marché européen, et par la captation de celui-ci par quelques acteurs, offre à des autorités étatiques non européennes un moyen sans équivalent dans l’histoire pour accéder massivement aux données sensibles de l’économie de notre continent ».
Pour y répondre, elle appelle l’UE, la France et l’écosystème numérique européen « à se doter de solutions autonomes à l’état de l’art permettant de garantir la libre circulation des données sensibles des organisations publiques et privées européennes dans des conditions de confiance vérifiables et opposables ».
