Amazon : un premier rapport de transparence trop léger

Quitte à arriver en dernier, autant être plus complet 2
En bref
image dediée
Securité
Vincent Hermann

Amazon publie bien tardivement son premier rapport de transparence. La firme y indique donc les différents chiffres sur les requêtes d’informations et différents mandats qu’elle a pu affronter. Elle est pourtant très en retard sur les autres sociétés américaines, alors même qu’elle affirme ne jamais avoir participé au programme PRISM.

Les rapports de transparence, une autre arme de communication

Ce programme de la NSA est le premier révélé par les documents d’Edward Snowden sur les données informatiques. Pour le grand public, il s’agissait de la preuve que l’agence américaine puisait dans les immenses réserves des grandes entreprises du cloud, parmi lesquelles Microsoft, Yahoo, Google, Facebook ou encore Apple. Après le scandale de ces révélations, les sociétés concernées ont eu fort à faire pour restaurer la confiance, et cette tâche de longue haleine continue, comme l’a prouvé Apple récemment.

Toutes ces entreprises se sont lancées dans une communication effrénée qui est passée en partie par la publication annuelle, voire semestrielle, de rapports de transparence. Dans ces derniers, elles communiquent sur les requêtes lancées par le gouvernement ou les forces de l’ordre, dans le cadre d’enquêtes ou encore de la chasse aux terroristes. Ces rapports fournissent en effet des chiffres, mais les détails ne vont pas jamais très loin, la loi interdisant les sociétés d’en dire trop sur ce qui leur a été demandé.

Un premier rapport pour Amazon, assez incomplet

On sait cependant avec précision la proportion des demandes qui ont été acceptées par le département juridique de chacune. Et justement, Amazon vient de publier le premier rapport de ce type, bien longtemps après ses concurrents. Voici donc le détail des informations publiées par la société :

  • Assignations : 813 reçues, dont 542 réponses complètes, 126 réponses partielles et 145 refus
  • Mandats de recherche : 25 reçus, dont 13 réponses complètes, 8 réponses partielles et 4 refus
  • Autres décisions de tribunaux : 13 reçues, dont 4 réponses complètes, 5 réponses partielles et 4 refus
  • National Security Requests : 0-249
  • Requêtes émanant d’autres pays : 132 reçues, dont 108 réponses complètes, 7 réponses partielles et 17 refus
  • Requête de suppression : une seule reçue, réalisée

On remarque plusieurs éléments. D’une part, les National Security Requests ne disposent d’aucun chiffre précis, ce qui est normal : la loi américaine interdit d’en donner le détail, de peur de fournir une vague idée de ce qui aurait été demandé et donc de renseigner les personnes impliquées. Pour rappel, ces requêtes spécifiques sont celles validées par la FISC (Foreign Intelligence Surveillance Court). D'autre part, les informations sur les requêtes internationales n'intègrent pas le détail par pays, alors que Snapchat par exemple fournissait ce genre de données.

Enfin, Amazon précise que son rapport sera semestriel, le premier comptant pour la période du 1er janvier au 31 mai, ce qui ne couvre d’ailleurs même pas complètement la première moitié de l'année.

Amazon assure ne jamais avoir participé au programme PRISM

Stephen Schmidt, responsable de la sécurité des informations chez Amazon, s’est fendu dans le même laps de temps d’un billet de blog pour revenir sur certains points. L’objectif était surtout de présenter la société comme l’une des championnes de la vie privée, en indiquant par exemple que les données des utilisateurs ne sont transmises qu’en cas de requête légale et valide, et que les concernés sont prévenus, sauf en cas d’interdiction spécifique.

Mais Schmidt insiste surtout sur un point bien particulier : Amazon n’a jamais participé au programme PRISM. La firme se battrait ainsi pour que le cadre juridique évolue, notamment en requérant de toute demande de renseignements qu’elle soit accompagnée d’un mandat délivré par un tribunal classique. Le fait est que même si Amazon n’apparaissait en effet  pas dans les documents dérobés par Snowden à la NSA, l’affirmation de l’entreprise est difficile à prouver.

Ne pas toucher au chiffrement, encore une fois

Ce qui ne l’empêche pas, comme toutes les autres d’ailleurs, de fustiger toutes les tentatives actuelles du gouvernement américain de s’en prendre au chiffrement des données, ce qui aurait « pour effet la fragilisation de la sécurité des produits, systèmes ou services que nos clients utilisent, qu’ils soient du grand public ou professionnels ». Et de rappeler dans la foulée que ceux qui utilisent les WAS peuvent employer leurs propres clés de chiffrement et que ces services ont remporté de nombreux prix célébrant leur respect de la sécurité et de la vie privée.

Le fait est que dans la pratique, Amazon est une entreprise américaine, soumise aux lois américaines, et plus particulièrement celles offrant aux agences de renseignement toutes leurs capacités. La société ne peut pas refuser en l’état les requêtes validées par la FISC, et seule une évolution du socle juridique pourra modifier la situation.


chargement
Chargement des commentaires...