Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sl:acces_etatiques_aux_serveurs [2010/04/26 21:31] – créée geronimo.diese
+++ sl:acces_etatiques_aux_serveurs [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
-====== Cloud Computing: Où sont mes données? ======
-février 2010
-[[http://blogs.lesinrocks.com/web-obscur/?p=17|Petites arnaques et manipulations sur internet (1)]] par Nicolas Kayser-Bril
-Le 12 janvier dernier, Google annonçait sur son blog que le gouvernement chinois avait pénétré ses serveurs et extrait des informations concernant les comptes Gmail de 2 opposants. Les fonctionnaires chinois seraient donc en mesure de s’introduire où bon leur semble dans les serveurs de Google. Où sont stockés à peu près toute la vie de centaines de millions d’utilisateurs qui y laissent leurs conversations par mail, par chat, leurs historiques de navigation, leurs photos et parfois même leur dossiers médicaux.
-Le stockage de données en ligne s’appelle le cloud computing, ou l‘informatique dans les nuages. Commencé avec le webmail, le mouvement s’étend maintenant à tous les domaines du web. Pour donner un ordre de grandeur de l’expansion du phénomène, Amazon S3, un service de stockage de données dans les nuages, double de taille tous les 8 mois.
-Mais le web est mondial. Nos données peuvent être stockées dans n’importe quel pays. Stockées et vues. Que ce soit par le FBI, qui peut avoir accès à vos mails hébergés aux États-Unis sans passer par un juge grâce au PATRIOT Act, ou en Chine, où le gouvernement n’a pas l’air de se gêner pour fourrer son nez dans les serveurs de Google.
-==== Quand le nuage devient toxique ====
-Google n’est pas le seul à se rendre compte que les régimes autoritaires ne sont pas les meilleurs business partners du monde. En 2007, Microsoft avait annoncé l’ouverture prochaine d’un parc de serveurs à Irkoutsk, en Sibérie. Depuis, silence radio. Microsoft semble avoir levé le pied sur son investissement russe.
-La raison? 4 mois après avoir signé un accord avec la région d’Irkoutsk, le FSB (ex-KGB) est venu mettre son nez dans le dossier en affirmant que si Microsoft n’était pas 100% transparent dans la manière de stocker les données, ses serveurs constituaient une menace pour la sécurité de l’Etat. En d’autre termes: Vous nous donnez l’accès à vos serveurs ou on vous laisse pas vous installer.
-Malgré ces désagréments, le régime politique n’est pas le premier critère dans le choix d’un lieu où implanter un parc de serveurs. La carte ci-dessous répertorie les datacenters de Google connus. De l’avis général, le moteur de recherche en posséderait des dizaines d’autres cachés de par le monde.
-==== Comment savoir où sont stockées vos données? ====
-En théorie, d’après la loi Informatique et Libertés de 1978, chacun a le droit de savoir si ses données sont envoyées en dehors de l’Union Européenne. En réalité, il est très difficile de localiser des données en particulier. Les géants du web, les Microsoft ou Google qui gèrent des dizaines de milliers de serveurs, équilibrent la charge entre leurs différentes ‘fermes’, de manière à pouvoir servir de manière optimale la partie du monde où les internautes sont réveillés.
-(...)
-Loin de la technologie de pointe, le plus sûr moyen de consulter les données privées d’un internaute reste de deviner son mot de passe. Ou plus exactement, sa « question de sécurité » permettant d’accéder au compte e-mail après avoir oublié son mot de passe. Une étude de Microsoft a montré que 20% des internautes arrivaient à deviner les questions de sécurité de leurs amis. La technologie ne peut pas faire grand chose contre ça.
-(...)
-====== Petites arnaques et manipulations sur internet (2) ======
-par Nicolas Kayser-Bril
-avril 2010
-[[http://blogs.lesinrocks.com/web-obscur/?p=98|Où sont mes données? (2)]]
-Où sont mes données lorsque je les stocke en ligne sur Hotmail, Flickr ou Google Docs? J’avais abordé la question en février dernier, mais 2 affaires américaines sont venues souligner l’importance du problème.
-==== Quand Google Docs mâche le travail du FBI ====
-En août dernier, lors d’une enquête sur des spammeurs, le FBI a obtenu un mandat l’autorisant à exiger de Google de lui fournir tous les Google Docs d’un suspect (voir l’article de Wired). 10 jours après, Google leur a envoyé les documents, dont une feuille de calcul contenait plus de 3 millions d’adresses spammées. Sans le cloud computing, obtenir une telle pièce à conviction aurait pris des semaines, puisqu’il aurait fallu aller la chercher sur le disque dur du suspect. Et encore, il aurait pu tout avoir effacé.
-Le mieux dans cette histoire: Le FBI n’avait même pas besoin de mandat. Une loi de 1986, le Stored Communications Act, autorise la police à accéder aux documents personnels stockés sur un serveur après un délai de 180 jours. Ce qui était sensé dans les années 1980 (lorsque les documents ne faisaient que transiter du serveur vers des ordinateurs distants) provoque un joli maelstrom à l’heure de l’informatique dans les nuages.
-En utilisant cette loi surannée, un procureur général américain a voulu forcer Yahoo à transmettre des e-mails plus récents que 180 jours, sous prétexte que l’utilisateur les avait déjà lus (toujours chez Wired).
-Cette demande a provoqué une levée de boucliers chez les défenseurs de la vie privée outre-Atlantique. Soutenu par Google et l’Electronic Frontier Foundation, Yahoo a tenu bon, empêchant ainsi les flics US de lire à loisir les e-mails d’une vaste majorité d’Américains.
-Résultat, si vos données sont hébergées par un fournisseur basé aux Etats-Unis, ou même sur un serveur installé là-bas, la police n’a pas beaucoup d’obstacles à franchir pour y avoir accès.
-==== En France, le règne du flou ====
-En France, le statut des données stockées dans les nuages manque de clarté. La loi relative au secret des correspondances électroniques de 1991 dispose que la force publique ne peut mettre son nez dans vos mails que si la sécurité nationale est en cause (ou le grand banditisme, ou le terrorisme – le genre de choses qui a peu de chances de vous concerner). Et c’est le premier ministre qui doit autoriser et motiver l’autorisation d’espionner.
-La loi sur la confiance dans l’économie numérique de 2004, qui devait éclaircir les choses, s’est bien gardée de trancher le débat. Elle définit l’e-mail mais en fait l’égal d’une lettre, ce que le conseil constitutionnel a confirmé par la suite. Pour les juges, les policiers et les citoyens, le message est clair: Débrouillez-vous !
-Face à une loi aussi peu adaptée aux enquêtes ordinaires, c’est le flou qui domine. La distinction entre correspondance privée et professionnelle, par exemple, oscille depuis deux dizaines d’années. Un jugement de janvier 2010 semble dire que les emails envoyés depuis le lieu de travail ne relèvent pas de la correspondance privée. Il vient à l’encontre d’un jugement de 2001 qui disait exactement l’inverse, c’est-à-dire que toute correspondance électronique envoyée à un seul destinataire depuis une adresse protégée par mot de passe est privée. Jusqu’à ce que la cour de cassation tranche, les juges seront libres de se fonder sur l’une ou l’autre des décisions.
-Quant aux moyens pour la force publique d’accéder aux mails, c’est encore plus drôle. En 2007 par exemple, un médecin isérois partageant par mail avec ses collègues ses réserves quant au bien fondé d’une mesure gouvernementale s’est vu convoquer chez le sous-préfet. Comment les e-mails se sont-ils retrouvés à la préfecture? Nul ne le sait.
-==== Un cocktail de lois nationales ====
-Alors, faut-il préférer une loi Américaine qui ne protège que modérément l’utilisateur ou une loi française qui hésite depuis 20 ans sur la démarche à adopter? Et quels services sont soumis à quelles lois?
-Dans une décision d’avril 2008, le TGI de Paris a affirmé que les lois françaises ne s’appliquaient pas aux services hébergés aux Etats-Unis. Les juges ont débouté une française exigeant que Google efface ses interventions sur Google Groups. Même s’ils ont souligné que la loi de 1978, censée donner aux internautes un droit d’accès à leurs données, ne s’appliquait pas à une entreprise californienne, les attendus expliquaient aussi que la plaignante pouvait faire le travail elle-même, en effaçant les messages à la main. Encore une fois, tant que la Cour de Cassation ne s’est pas prononcée, nul ne sait à quoi s’en tenir.
-Mais de toute façon, une décision de justice en France peut très bien être contredite par un jugement américain. Un article de Bloomberg recense la flopée de jugements internationaux n’ayant aboutis à rien, faute de coordination entre juges européens et américains.
-Pour Stéphane Grégoire, chargé de mission au Forum des droits sur l’internet, que j’avais interviewé en février, la solution à ce méli-mélo juridique est d’unifier le droit du cloud computing au niveau mondial. Les sites globaux, comme Facebook, sont soumis à 130 lois nationales différentes. Impossible dans ces conditions de créer des services sur mesure pour respecter les législations locales.
-Dans ce but, le groupe de travail G29, qui rassemble les 27 CNIL européennes, propose pour commencer d’unifier la notion de ‘données à caractère personnel’ (voir l’avis). En effet, les textes communautaires laissent aux 27 membres de l’Union une bonne marge de manœuvre pour décider de l’interprétation de ce terme.
-Les législateurs les plus intéressés par le sujet, en Autriche, ont clarifié la situation en créant la catégorie des données indirectement personnelles, qui ne permettent pas en elles-mêmes d’identifier une personne (l’adresse IP, par exemple). A l’inverse, la cour suprême allemande a opté pour une approche de la question au bulldozer en février dernier, interdisant la sauvegarde de données liées aux appels téléphoniques et aux e-mails jusqu’à ce que le gouvernement revienne avec des amendements protégeant plus l’utilisateur.
-Conclusion: Si vous voulez conserver un total contrôle sur vos données personnelles, ne stockez rien en ligne! Sinon, vous prenez un risque que vous ne pouvez pas évaluer.