La fanfare Microsoft Office 365, trompettes et pipeau – la partie pipeau

Bon, ça, c’était le côté trompettes. Mais O365 a aussi son côté pipeau. Un certain nombre de DPO et de RSSI (dont votre serviteur, en double) s’interrogent sur le conflit entre la certification HDS (que Microsoft détient depuis peu) et le Cloud Act (voté également depuis peu). Je vous la fais courte : HDS et RGPD stipulent que la confidentialité des données stockées par un hébergeur est absolue (je vous fais grâce des détails) et que ce dernier, du moment que son datacenter est sur le territoire de l’UE, y est soumis du sol au plafond. Sauf que le Cloud Act stipule quant à lui que les fournisseurs US doivent transmettre à leur gouvernement les données des clients hébergés dans leurs datacenters sur simple demande, y compris si ledit datacenter est situé à l’étranger (pour les Américains), et notamment l’UE. En gros, la question tourne autour de la territorialité de la loi : pour un fournisseur US qui a une activité dans l’UE, le Cloud Act l’emporte-t-il ou non sur la réglementation européenne ?

Inutile de tourner autour de la prise RJ45 pendant des heures, tout le monde connaît la réponse à cette question. Le Cloud Act a été voté justement parce que le Patriot Act (précédemment voté à la suite du 11-Septembre) ne contenait pas de disposition claire sur la question de l’extraterritorialité : problème réglé pour les États-Unis, quand il s’agit pour eux de sauvegarder leurs intérêts géopolitiques ou économiques, on peut leur faire confiance pour oublier d’être bêtes. Mais dans un courrier daté de juin 2018, Microsoft se démène comme il peut avec la section « pipeau » de la fanfare. Ainsi, il est écrit (sans rire !) que « le Cloud Act n’est pas un instrument permettant aux gouvernements d’exercer une plus grande surveillance, mais un mécanisme facilitant les enquêtes des autorités judiciaires ». C’est vrai que venant d’un pays qui passe son temps à accuser les Chinois et la Corée du Nord d’espionnage et qui lui n’espionne jamais personne (quel gros menteur ce Snowden), on se sent tout de suite en confiance. Le pompon du courrier susnommé est tout de même la phrase suivante : « Microsoft ne divulguera pas les données du client aux pouvoirs publics, sauf s’il y est tenu par la loi ». Traduction : promis, juré, on ne transmettra rien, sauf si on y est obligé.

C’est le moment où vous vous dites : non mais OK, Micromou enverra les fichiers à Donald, mais au moins on sera averti. Que nenni brave lecteur : le législateur américain, toujours vigilant, a pensé à tout. Dans l’hypothèse où une entreprise US doit divulguer les données d’un client au gouvernement, la loi US l’autorise à ne pas signaler cette demande. Donc, quand Microsoft écrit (toujours dans le même courrier) qu’en cas de demande de transfert il en avertira le client, c’est une promesse qui n’engage que ceux qui y croient : rien n’oblige Microsoft à la tenir et, qui plus est, rien ne permettra au client de savoir que Microsoft ne l’a pas tenue. Elle n’est pas belle la vie ? Si certains pensent malgré tout qu’il faut être confiants, sachez qu’avec trois copains on organise des dîners tous les premiers mercredis du mois, nous serions ravis s’ils voulaient venir nous parler de leur passion.

Microsoft ferait bien de mettre un peu plus d’énergie à trouver des solutions de contournement plutôt que d’user sa salive pour rien. Parce que des solutions, il y en a, et en particulier le chiffrement. Il est toujours possible de chiffrer les données clients, par exemple avec des passerelles de chiffrement. Certes, il y a de l’ingénierie d’architecture : chiffrer les conteneurs plutôt que les documents, adapter les solutions de chiffrement selon qu’il s’agisse de la messagerie, des bases de données, des fichiers, etc., stocker les clés chez le client et pas dans O365. Ces solutions ne sont pas parfaites (le chiffrement induit du ralentissement, chiffrer au niveau du document empêche les recherches plein texte, etc.), mais qui va nous faire croire que l’on peut envoyer des types sur la Lune et qu’il ne serait pas possible de chiffrer les PowerPoint du DG ?

Pour terminer, et histoire de bien vous pourrir la semaine, je pense qu’il va être de plus en plus difficile de résister à ce mode de consommation d’outils bureautiques. Le déclic viendra soit d’une direction générale ulcérée – et à juste titre – de ne pas pouvoir ouvrir les fichiers Word de l’établissement voisin, soit de chercheurs excédés de ne pas pouvoir partager des fichiers de travail avec leurs homologues de la fac. Avis aux éditeurs – français – de produits compagnons de chiffrement, et à Microsoft, s’ils me lisent, de proposer des produits à un niveau de sécurité digne du xxi^e siècle.