La semaine dernière, Microsoft a été visé directement par une série de nouvelles révélations autour de Prism. Ces informations suggéraient que la firme entretenait un lien direct avec la NSA, la CIA et le FBI pour plusieurs produits, dont Outlook.com, Skype et SkyDrive. Depuis, l’éditeur de Redmond a vigoureusement démenti ces allégations.
Outlook.com
Un cadre strict et légal
Un article du journal anglais The Guardian a été particulièrement dommageable pour Microsoft la semaine dernière. À la lueur des récentes révélations sur le programme Prism, les internautes étaient déjà échauffés par l’ampleur de la surveillance du renseignement américain. Dans le cas de Microsoft, il s’agissait d’un accès direct à Skype, Outlook.com et SkyDrive, ainsi que des travaux nécessaires pour contourner le chiffrement des données. Il devenait ainsi possible pour la NSA et la CIA, par l’entremise du FBI, de piocher directement dans la messagerie d’Outlook.com, les fichiers stockés dans SkyDrive ou encore de savoir qui appelait qui dans Skype.
Mais la firme a vigoureusement démenti ces informations du Guardian sur son propre blog. Un long billet, écrit par le responsable juridique Brad Smith, décrit les obligations de Microsoft face à la loi et au monde du renseignement. En clair, la ligne de défense est toujours la même : quand l’entreprise fait face aux requêtes émanant des agences, elle les contrôle pour en jauger la licéité puis s’exécute dans un cadre résolument strict et précis.
« Point barre »
Smith aborde point par point les éléments avancés par The Guardian, notamment au sujet des produits cités. Pour Outook.com par exemple, il affirme : « Nous ne fournissons à aucun gouvernement un accès direct aux emails et aux messages instantanés. Point barre. Comme tout fournisseur de services de communications, nous sommes parfois obligés de respecter les demandes judiciaires des gouvernements pour fournir du contenu venant de comptes spécifiques, conformément à un mandat de recherche ou à un ordre d’un tribunal ».
Les réponses données pour Skype et SkyDrive sont similaires, mais Brad Smith aborde également le cas des emails en entreprises et de la gestion des documents en milieu professionnel :
« Si nous recevons une demande du gouvernement pour les données détenues par un client professionnel, nous prenons des mesures pour rediriger le gouvernement vers ce client, et nous prévenons ce dernier, sauf si cela nous est interdit. Nous n’avons jamais donné à un quelconque gouvernement des données de nos clients professionnels ou gouvernementaux pour des raisons de sécurité nationale. En termes de requêtes criminelles, nous avons indiqué clairement dans notre Law Enforcement Requests Report que nous n’avons accepté en 2012 que quatre requêtes relatives à nos clients professionnels et gouvernementaux. Dans trois d’entre elles, nous avons averti les clients, qui nous ont autorisés à fournir les données. Dans le quatrième cas, le client a reçu directement la demande et a demandé à Microsoft de fournir les données. Nous ne donnons à aucun gouvernement la capacité de briser le chiffrement utilisé entre nos clients professionnels et leurs données dans le cloud, pas plus que nous ne lui fournissons la clé de chiffrement ».
Une énième lettre pour réclamer la transparence
Microsoft se défend donc encore une fois d’établir un lien direct entre le renseignement et les données des utilisateurs. Brad Smith indique d’ailleurs que la firme se retrouve coincée entre la volonté de s’expliquer davantage et l’interdiction qui lui est faite à ce sujet. Une situation dépeinte par toutes les entreprises américaines concernées par Prism. Une lettre a de fait été envoyée au procureur général des États-Unis, Eric Holder, pour demander une fois de plus la levée du secret sur une partie de ces informations, notamment s'agissant du nombre précis de requêtes reçues chaque année.
Et comme nous le verrons dans une actualité dédiée, Microsoft fait désormais partie d’un front d’entreprises réclamant à la NSA le droit à davantage de transparence.
