Le scandale de la surveillance américaine des données et des pouvoirs de la NSA a provoqué une vague de réactions à de multiples niveaux. Après l’annonce par Yahoo que le chiffrement serait désormais la règle de base pour l’ensemble de ses communications d’ici la fin du mois de mars prochain, voilà que Microsoft saute dans le même bateau.
2014, l'année du chiffrement intégral des données
Les révélations engendrées par les documents dérobés d’Edward Snowden ont braqué les projecteurs sur l’ensemble de la sécurité informatique. Les grandes entreprises impliquées dans le cloud que sont Microsoft, Facebook, Yahoo, Apple ou encore Google ont toutes réagi pour indiquer qu’elles ne communiquaient des informations personnelles qu’en cas de requête légalement formulée, agrémentée d’un mandat délivré par un juge. Depuis des mois, ces sociétés insistent sur un point important : elles ne participent pas volontairement à cette surveillance généralisée.
Seulement voilà, les informations données par Snowden ont tendance à montrer que la NSA se passe de cet accord depuis de nombreuses années. Via un programme nommé Muscular, l’agence se procure ce dont elle a besoin depuis des années sans demander la permission, soit via des malwares placés à endroits stratégiques, soit surtout par l’écoute directe sur d’importants câbles dans lesquels transitent les flux de données.
C’est dans ce contexte particulier que Yahoo avait fait une annonce pour certifier que l’intégralité de ses communications bénéficierait du chiffrement des données d’ici la fin du premier trimestre 2014. Contrairement à ses concurrents, les communications ne sont chiffrées pour aucun produit et seul Yahoo Mail bénéficie d’un accès en HTTPS depuis très peu de temps. Pour les autres entreprises du cloud, la situation varie, certains services chiffrant les communications, d’autres non.
Microsoft se jette à l'eau
C’est le cas de Microsoft, qui annonce dans un nouveau communiqué qu’elle aussi basculera vers le chiffrement intégral dans le courant 2014, une volonté qui fait suite aux fortes rumeurs allant dans ce sens. Contrairement à Yahoo, plusieurs services chiffrent déjà les données vers les serveurs de l’éditeur, mais pas tous. En outre, ce chiffrement n’est pas forcément assuré en interne, entre les serveurs.
Voici donc la série de mesures annoncées :
- La généralisation du chiffrement pour tout transfert de données entre le client et Microsoft,
- L’ensemble des services clés de plateforme, productivité et de communications seront chiffrés lors des échanges inter-serveurs,
- Plusieurs protections seront mises en place, dont des clés de chiffrement 2048 bits et la confidentialité persistante,
- Le contenu des utilisateurs stocké par Microsoft sera lui aussi chiffré, notamment dans le cas de SkyDrive. Si des développeurs tiers utilisent Azure pour stocker des données, ils auront le choix d’activer cette fonctionnalité ou non,
- Un travail est en cours avec d’autres entreprises pour que les données transitant d’un service vers un autre restent chiffrées.
Selon Microsoft, la fin des travaux est prévue pour fin 2014 mais la firme précise qu’une majorité de ces mesures est en fait déjà en place. Problème : aucun détail n’est donné et on ne sait donc pas quels sont les produits concernés. On signalera par exemple les services Outlook.com, Calendrier, Contacts, SkyDrive ou encore les Office Web Apps, utilisant toutes une connexion HTTPS.
Pourquoi avoir attendu ?
Cet élargissement des protections techniques s’accompagnera d’un aspect juridique. Microsoft indique en effet que les entreprises et les gouvernements qui possèdent des données hébergées sur un service quelconque seront automatiquement avertis en cas de réception d’une demande légale d’accès à leurs données. Si un ordre de mise sous silence tente d’imposer un court-circuit de cette chaine d’informations, la firme s’engage à porter l’affaire devant les tribunaux. On rappellera à ce sujet que Microsoft s’est rapproché de Google pour déposer une plainte commune contre le gouvernement américain. Objectif : obtenir l’autorisation d’ouvrir les vannes sur les demandes qui leurs sont faites par les agences de renseignement.
Nous ferons remarquer, comme dans le cas de Yahoo d’ailleurs, qu’il est dommage que Microsoft ait attendu qu’éclate un scandale pour que le chiffrement des données devienne la règle pour l’ensemble des transmissions. Car c’est véritablement l’opprobre populaire et la perte de confiance qui font réagir l’entreprise, la NSA n’étant pas la seule menace contre les données privées : le chiffrement permettra dans tous les cas de mieux résister aux attaques des pirates. Un élément essentiel, surtout dans les communications inter-serveurs, quand on sait quelle importance le cloud prend à l’heure actuelle.