Microsoft et le chiffrement de bout en bout : limites et risques pour la sécurité
Le chiffrement E2EE de Microsoft Teams n’est ni complet ni moderne, exposant les entreprises réglementées à des risques de sécurité et de conformité.
Les lois US priment sur l’UE en matière de vie privée. Big Tech ne peut pas garantir la souveraineté des données. Quelles options pour l’UE ?
Le PDG de Microsoft, Satya Nadella, fait de son mieux dans une situation impossible. Microsoft investit des efforts et des ressources considérables dans des offres de services "privés" et "souverains" et dans la curation afin de rassurer les clients de l'UE sur la sécurité de leurs données. Dans un récent message publié sur LinkedIn, Satya a annoncé de nouvelles offres souveraines qui, selon lui, reflètent l'engagement de Microsoft à donner aux clients le choix, le contrôle et la sécurité.
Il n'y a aucune raison de douter de l'authenticité des motivations commerciales et internes de Nadella et de Microsoft. Après tout, l'Union européenne est un vaste marché et toute entreprise souhaite satisfaire ses clients et répondre à leurs besoins. Mais il y a un problème.
C'est une promesse que Microsoft ne peut pas tenir. Et aucune des autres grandes entreprises technologiques ne peut le faire non plus.
Ce n'est pas nécessairement la faute de Microsoft ou d'une autre entreprise. Mais c'est la réalité.
La raison en est très simple : Les lois américaines en matière de surveillance et le contrôle exercé sur le secteur technologique sont sans faille. Rien de ce que Microsoft ou toute autre grande entreprise technologique peut annoncer ou promettre ne changera ce fait.
L'état de l'État de surveillance américain
Les lois américaines sur la surveillance - notamment le Foreign Intelligence Surveillance Act (FISA), le CLOUD Act et l'Executive Order 12333 - créent des obligations radicales pour les entreprises technologiques américaines, quel que soit l'endroit où se trouvent leurs infrastructures ou leurs clients. Ces lois permettent aux autorités américaines d'exiger l'accès aux données, même lorsque celles-ci sont stockées en dehors des États-Unis ou appartiennent à des personnes non américaines.
L'article 702 de laFISA permet aux agences de renseignement américaines de surveiller sans mandat les personnes étrangères qui utilisent les services de communication électronique américains. Cette loi s'applique à toute entreprise "soumise à la juridiction des États-Unis", ce qui inclut toutes les entreprises ayant leur siège aux États-Unis et leurs filiales internationales. Elle exige une mise en conformité secrète, souvent par le biais d'ordonnances de silence.
La loi CLOUD (Clarifying Lawful Overseas Use of Data Act) étend encore ce champ d'application en accordant explicitement aux forces de l'ordre américaines le droit d'exiger des données stockées à l'étranger par des entreprises américaines, même en cas de conflit avec les lois étrangères sur la protection de la vie privée.
Ledécret 12333 introduit une couche supplémentaire en autorisant la collecte en vrac de données de communication interceptées à l'étranger sans contrôle judiciaire, ce qui présente des risques, en particulier lorsque les entreprises américaines opèrent dans le cadre d'obligations légales opaques et sont confrontées à des exigences en matière de sécurité nationale.
Ces lois américaines supplantent toutes les protections locales prévues par le règlement général sur la protection des données (RGPD) de l'UE en ce qui concerne le contrôle effectif de l'accès. Même dans les cas où les entités de l'UE hébergent leurs données sur une "infrastructure basée dans l'UE" fournie par des entreprises américaines comme Microsoft, Google ou Amazon, l'autorité juridictionnelle sous-jacente reste américaine. Cela signifie que les clients européens sont exposés à des régimes de surveillance étrangers qu'ils ne peuvent ni auditer ni contrôler.
En bref, c'est la juridiction, et non l'emplacement physique des données, qui détermine l'accès et le contrôle. Cette réalité empêche les entreprises technologiques américaines de fournir une véritable souveraineté numérique aux organisations de l'UE, malgré les déclarations marketing sur les offres "souveraines" ou "européennes" de services en nuage.
Source fermée + lois de surveillance = grands risques
En général, les logiciels des grandes entreprises technologiques sont fermés, sans aucune transparence sur ce qui se passe sous le capot. En vertu de la loi, le gouvernement américain pourrait exiger des portes dérobées dans n'importe quel logiciel pour récupérer les clés de cryptage, les données des clients et les métadonnées, et aucun client ne le saurait jamais, puisque la demande devrait être gardée secrète.
Il existe des preuves réelles que ce type d'intrusion se produit déjà, et même plus qu'auparavant. De nombreux gouvernements et entreprises de l'UE ont tiré la sonnette d'alarme lorsque Microsoft, sous la pression du gouvernement américain, a bloqué l'accès à ses services au procureur général de la Cour pénale internationale en raison des sanctions imposées par le gouvernement américain. Ce type de déni de service arbitraire est absolument contraire au GDPR.
Un nouveau paysage géopolitique exige une réévaluation sérieuse
Dans le passé, malgré le fait que les lois de surveillance américaines étaient en mesure de passer outre tout accord politique visant à tenter de respecter les cadres de protection des données de l'UE, les organisations et les gouvernements de l'UE étaient prêts à faire confiance parce qu'il y avait au moins un esprit de coopération en tant qu'alliés proches. Toutefois, le paysage géopolitique a radicalement changé.
Le démantèlement effectif par l'administration américaine du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB) a des implications significatives pour les organisations de l'UE soucieuses de la confidentialité des données et de la confiance transatlantique. Créé à l'origine pour assurer un contrôle indépendant des activités de surveillance des États-Unis, le PCLOB était un mécanisme clé cité dans les accords de transfert de données entre l'UE et les États-Unis - comme le défunt bouclier de protection de la vie privée - comme garantie de la proportionnalité et de la réparation.
En l'absence d'un PCLOB opérationnel, il n'existe pas d'organe indépendant crédible chargé d'examiner les pratiques de surveillance des États-Unis ou de veiller à ce qu'elles soient conformes à des principes de protection de la vie privée comparables à ceux du GDPR. Cela remet en cause l'affirmation principale selon laquelle la surveillance américaine est soumise à des contrôles et à des équilibres et affaiblit les garanties dans des cadres tels que le cadre de protection des données (DPF), qui fait déjà l'objet d'un examen juridique au sein de l'UE.
Pour les organisations européennes, cela signifie un risque juridique et de réputation important lorsqu'elles transfèrent ou confient des données à des fournisseurs de services basés aux États-Unis, en particulier ceux qui sont soumis à des lois telles que la FISA et le CLOUD Act.
Exit la pensée magique. Place aux solutions souveraines de l'UE.
Les affirmations des géants américains de la technologie concernant la fourniture de solutions souveraines à l'UE sont magiques. Y croire, c'est se laisser aller à la pensée magique. Mais ni Microsoft ni aucune autre entreprise technologique américaine ne possède de carte magique permettant d'échapper à la surveillance.
La confiance ne peut pas être fondée sur des déclarations de marketing ou sur des sentiments flous à l'égard de ce qui était auparavant. Elle exige une responsabilité juridique, institutionnelle et technique démontrable.
Les gouvernements et les entreprises de l'UE doivent insister sur une norme plus élevée : le respect juridiquement contraignant et non dérogeable des lois européennes sur la protection de la vie privée. Toute autre exigence revient à céder sa souveraineté, et non à la protéger.
En pratique, cela signifie qu'il faut choisir des fournisseurs de technologie de l'UE qui opèrent dans le cadre des lois européennes sur la protection de la vie privée. Cela signifie également qu'il faut privilégier les entreprises technologiques de l'UE qui offrent une transparence de source ouverte, afin que les organisations puissent faire confiance et vérifier.
La bonne nouvelle, c'est qu'il existe des solutions technologiques européennes crédibles et solides pour l' ensemble des applications et des cas d'utilisation.
