Microsoft réfléchit actuellement à faire du chiffrement des données un standard d’entreprise pour l’ensemble de ses communications. Cette information, obtenue par le Washington Post, signe à la manière de Yahoo! une forme de réaction à l’actualité des derniers mois sur les programmes de surveillance de la NSA.
Crédits : Robert Scoble, licence Creative Commons
Microsoft face au chiffrement intégral des données
Récemment, Marissa Meyer, PDG de Yahoo!, annonçait que d’ici la fin du mois de mars 2014, l’entreprise allait finaliser de grands travaux concernant la sécurité de ses services. En effet, le chiffrement des données débarquera en force, touchant à la fois les communications entre les clients et l’infrastructure de la firme, mais également les communications internes entre les serveurs. Yahoo était le dernier grand acteur à ne pas chiffrer les communications entre ses services et les clients, mais côté serveurs, c’est loin d’être le cas.
Chez Microsoft, les connexions entre les clients et les services sont chiffrées dans la majorité des cas. Même s’il ne s’agit pas de mesures anciennes, elles ont le mérite d’avoir été mises en place. Mais le chiffrement intégral, donc à l’échelle de l’entreprise entière, n’est pas encore actif. Par exemple, les échanges entre les serveurs au sein des centres de données ne sont pas concernés pas de telles technologies.
La direction serait en plein remue-méninge
Selon un nouvel article du Washington Post, un véritable branle-bas de combat a lieu en ce moment chez Microsoft. Plusieurs sources proches du dossier, et ayant tenu à rester anonymes, ont informé le Post que la direction de l’entreprise est pleinement consciente des rapports sur les activités de la NSA depuis le mois de juin. Le chiffrement intégral des données est donc débattu activement, mais les actualités parues depuis le mois dernier ont largement accéléré les réunions.
La raison en est qu’un autre article du Washington Post, alimenté par les documents dérobés par Edward Snowden, faisait état le mois dernier d’un nouvel aspect de la surveillance par la NSA. On trouvait ainsi au sein d’un programme nommé Muscular la faculté pour l’agence d’espionner à même les réseaux privés d’entreprises telles que Yahoo, Google ou encore Microsoft, même si les deux premières étaient en première ligne. Cependant, des noms tels que Microsoft Passport et Hotmail étaient présents dans les documents.
Un sérieux effort d'ingénierie
Selon les personnes interrogées par le Post, ces nouvelles informations auraient eu un impact certain sur la direction à Redmond. Il est difficile actuellement de savoir réellement ce qui est une opération de communication et ce qui est réel. Les grandes entreprises impliquées dans Prism telles que Microsoft, Google, Yahoo, Apple ou encore Facebook ont toutes une importante carte à jouer sur le plan de la communication : elles doivent apparaître comme garantes des secrets qui leur sont confiés. Les communiqués ne sont multipliés tandis que Microsoft et Google, pourtant ennemis, n’ont pas hésité à s’associer pour déposer une plainte commune contre le gouvernement. Objectif : faire débloquer l’autorisation d’en dire davantage sur les demandes qui leur sont faites pour révéler les données personnelles des cibles de la NSA et du FBI.
Selon les experts interrogés par le Washington Post, le fait que plusieurs entreprises, y compris Yahoo et Google, travaillent désormais sur un chiffrement intégral de leurs données est nécessairement une bonne chose. Car il n’est pas question ici d’augmenter la seule résilience des systèmes visés contre la NSA et les agences de renseignement en général, mais bien de parer à un plus grand nombre de menaces. La concentration des données à distance, autrement dit le cloud, ne fait que déplacer le problème : c’est moins à l’utilisateur qu’à l’entreprise de veiller à la protection des données, et le chiffrement seul de la connexion avec le client n’est plus suffisant. Pour Matthew Green, de l’université Johns Hopkins, cela reste dans tous les cas « un gros effort d’ingénierie ».
Zone de flou
Le sujet des grandes entreprises est l’un des principaux points flous dans tout ce qui touche aux activités du renseignement. Les informations sont partielles et parfois contraires. Les premiers documents laissaient entendre que les sociétés participaient sur une base volontaire au remplissage de vastes bases de données sur les utilisateurs des services. Les mois passants, ces premiers rapports ont été nuancés par de nouveaux, montrant surtout que les firmes devaient recevoir des requêtes validées par la FISC (Foreign Intelligence Surveillance Court) avant de procéder à l’extraction des données. Depuis, ces mêmes entreprises apparaissent comme très réticentes, ce qui ne laisse globalement que trois possibilités : soit elles ont participé et leur communication tente de dévier le tir, soit ce n’est pas le cas et les inquiétudes sont légitimes, soit elles ont participé en partie mais la NSA ne s’en est pas contentée, cherchant à obtenir par la force d’autres données.
Les sources du Washington Post ont indiqué au journal que la direction de Microsoft n’était pas en possession des preuves montrant que la NSA prélevait directement des données. Cependant, les responsables devraient se rencontrer une nouvelle fois cette semaine et prendre plusieurs décisions concernant l’extension du chiffrement des données. Selon les mêmes sources, le budget même de l’opération n’a pas encore été estimé.
Des « allégations troublantes » pour le responsable juridique de la firme
Interrogé par le Post, Brad Smith, vice-président de Microsoft et responsable juridique de la firme, se montre inquiet : « Ces allégations sont réellement troublantes. Si elles sont vraies, ces actions sont équivalentes au piratage et à la capture de données personnelles, et de notre point de vue, sont une faille dans la protection garantie par le Quatrième Amendement de la Constitution ». Ce dernier permet pour rappel à tout citoyen américain de voir ses informations personnelles être protégées de toute saisie ou perquisition avant qu’un mandat ait été émis par un juge.
Il est intéressant dans tous les cas de voir les réactions actuelles des entreprises. On notera à ce sujet qu’on rejoint ici l’avis du cryptologue Bruce Schneier qui indiquait il y a peu que le paysage de la sécurité allait être bouleversé. Les méthodes de la NSA vont ainsi provoquer une nécessaire adaptation des technologies et des habitudes et le niveau global de sécurité va ainsi grimper. Rendez-vous donc dans quelques mois quand les grandes firmes du cloud auront mis en place leurs solutions de chiffrement. D’ici là, elles ne manqueront pas de communiquer sur les grandes décisions qui seront prises, à l’instar de Yahoo.
