En 2013, le FBI a émis un mandat dénommé Stored Communications Act afin d’accéder à des courriels stockés en Irlande, dans l’un des datacenters de Microsoft, dans le cadre d’une enquête sur un trafic de drogue. Microsoft refusa de fournir ces informations, car les données en Irlande se trouvent hors de la juridiction du mandat étasunien. Dans l’affaire Microsoft Corp. v. United States, le tribunal a jugé que « le gouvernement ne peut pas obliger les fournisseurs d’accès à Internet (FAI) à remettre des données stockées à l’étranger, même avec un mandat ».
Pour résoudre ce problème, le gouvernement américain a décidé en 2018 de modifier la loi Stored Communication Act de 1986 en promulguant le C.L.O.U.D Act.
Le C.L.O.U.D Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act, une loi fédérale visant à accélérer l’accès aux informations électroniques détenues par des fournisseurs sous juridiction des États-Unis et qui sont essentielles pour les enquêtes des partenaires étrangers concernant des infractions graves.
Champ d’application des données accessibles par le C.L.O.U.D Act :
- Contenu des communications électroniques stocké sur un support informatique
- Contenu des communications électroniques détenu par un prestataire de service informatique à distance (Cloud)
- Enregistrements relatifs à un service de communications électroniques ou à un service informatique à distance (Cloud)
Un processus contrôlé pour accéder aux données
Tout d’abord, les autorités américaines invoquant cette loi qui leur permet d’accéder au contenu de toutes les entreprises sous juridiction américaine, doivent obtenir un mandat préalable. Elles doivent prouver qu’il existe une forte probabilité de trouver des preuves, liées à l’enquête criminelle en cours, dans les données ciblées, que le crime soit perpétré par le client ou l’entreprise elle-même.
Une fois le mandat délivré, il doit être examiné et approuvé par un juge indépendant.
La demande peut être émise sous ordonnance de confidentialité : les autorités judiciaires peuvent empêcher le Fournisseur de services Cloud (CSP) de notifier la demande au titulaire du compte. Les ordonnances de confidentialité sont alors examinées plus attentivement par le ministère de la justice.
Si le mandat est approuvé et qu’une demande est émise, le fournisseur de services ou le client, s’il en est informé, peut la contester sous 14 jours si :
- Les données concernent une personne non américaine qui ne réside pas aux États-Unis, et/ou ;
- Cette demande rentrerait en conflit avec la législation d’un pays étranger et l’exposerait à des sanctions.
Des facteurs tels que l’importance de l’information, la spécificité de la demande ou la disponibilité de moyens alternatifs pour obtenir l’information seront analysés par le tribunal.
C.L.O.U.D Act = fournisseur de Cloud ?
Le C.L.O.U.D Act ne vise pas seulement les fournisseurs de Cloud ! Son périmètre est beaucoup plus large et inclut certains logiciels et fournisseurs déjà présents dans les SI de certaines entreprises.
- Services informatiques à distance (RCS): tout fournisseurs de services de stockage et de traitement informatique à des utilisateurs par le biais d’un système de communication électronique.
- Service de communication électronique (ECS): tout service qui offre à ses utilisateurs la possibilité d’envoyer ou de recevoir des communications par moyen électronique ou filaire
-
- Entreprises américaines
- Entreprises étrangères situées en dehors des États-Unis mais fournissant des services aux États-Unis avec suffisamment de contact, en fonction de la nature, de la quantité et de la qualité des contacts de l’entreprise avec les États-Unis (promotion auprès de clients américains, sollicitation d’affaires auprès d’entreprises américaines, utilisation par des clients américains, etc.)
Outre le champ d’application évident de la définition du RCS et de l’ECS (fournisseurs d’e-mails, sociétés de téléphonie mobile, plateformes de médias sociaux, services de stockage en nuage, etc.), de nombreux logiciels et fournisseurs utilisés dans la plupart des SI entrent dans le champ d’application du C.L.O.U.D Act :
-
- Toute la suite Microsoft Office (Outlook, Skype).
- Appareils et services de sécurité et de réseau (proxies, pare-feu, anti-malware, etc.) fournis par des entreprises américaines (ex. : Symantec, Pulse, Citrix, etc.).
- Logiciels d’entreprise qui traitent des données pour le compte d’entreprises ou citoyens américains (ex. : ordres de paiement).
Sur les SI On Premise, le C.L.O.U.D ACT s’applique toujours
Le C.L.O.U.D Act a un périmètre plus large que ce qu’il pourrait laisser penser et une implémentation onpremise peut donner une fausse perception de protection. Voici deux exemples de la manière dont les données peuvent être récupérées ou transmises :
1. Flux techniques sortants
De nombreux logiciels communiquent by-design avec l’infrastructure du fournisseur (rapports d’erreurs et d’utilisateurs, données de télémétrie). La plupart des flux sortants sont chiffrés via HTTPS mais les fournisseurs ne communiquent généralement pas sur le contenu des données envoyées ni ne précisent la destination et, dans la plupart des cas, ces flux sortants sont nécessaires à l’utilisation du service et ne peuvent être désactivés.
=> Les autorités américaines peuvent récupérer les données souhaitées pour le C.L.O.U.D Act telles que les identifiants individuels
2. Equipes de support étrangères (third-party support)
Certaines équipes de support, localisées à l’étranger, effectuent leur service à distance, obligeant les fournisseurs à leur donner accès à aux données dans le monde entier (y compris le territoire américain).
Pour de nombreux logiciels, les fournisseurs de Cloud contractualisent avec des équipes de support étrangères qui peuvent être basées aux Etats-Unis ou sous juridiction américaine.
=> Le fournisseur ou le tiers peut être contraint de transmettre les données en cas de demande émanant des autorités américaines.
Qu’en disent les fournisseurs de C.L.O.U.D ?
Les fournisseurs de Cloud assurent à leurs clients qu’ils ne divulgueront pas leurs données à moins d’y être obligés par la loi… ce qui est le cas s’ils sont contraints par le C.L.O.U.D Act… En cas de conflit de lois, comme avec le règlement GDPR, ces derniers assurent qu’ils prendront les mesures nécessaires pour s’opposer à la demande du gouvernement américain.
Certains d’entre eux vont même plus loin, en assurant que les clés de chiffrement utilisées pour sécuriser les données du client ou la possibilité de forcer le déchiffrement ne seront pas fournies. Pour l’instant, le C.L.O.U.D Act ne mentionne pas les clés de chiffrement ni l’obligation de fournir des données non chiffrées.
Deux fois par an, les fournisseurs de Cloud tels que Microsoft, Amazon et Google compilent dans des rapports le nombre et le détail des demandes qu’ils reçoivent des institutions du monde entier concernant la récupération de données clientes. Les demandes émises par des organisme américains comprennent les demandes liées au C.L.O.U.D Act. Le détail des lois utilisées pour émettre les demandes n’est pas spécifiée, ce qui signifie que nous ne pouvons pas savoir quelle proportion des demandes est liée au C.L.O.U.D Act.
Type de données récupérées
Les derniers rapports de Microsoft et Amazon, concernant les demandes entre juillet et décembre 2020 dans le monde, peuvent fournir plus d’informations sur le type de données demandées à Microsoft et Amazon (Google ne fournit pas d’informations concernant la distinction entre les données de contenu et les données hors contenu) :
% Content : ce que les clients créent, communiquent et stockent sur ou par le biais des services Cloud, comme le contenu d’un courriel ou les documents stockés sur OneDrive.
% Données sans contenu : Données autres que le contenu comprenant des informations basiques telles que l’adresse électronique, le nom, le pays et l’adresse IP au moment de l’inscription, l’historique des connexions IP ou les informations de facturation.
% Aucune donnée trouvée : les données requises par le mandat sont introuvables.
% Rejeté : impossible de divulguer les informations demandées (ne répondant pas aux exigences légales)
=> 40 % des demandes adressées à Microsoft n’aboutissent pas : aucune donnée n’est trouvée, ou la demande est rejetée.
=> La plupart des demandes adressées à Microsoft et à AWS qui aboutissent à la divulgation de données concernent des données non liées au contenu (principalement des données de connexion type IP, metadata, etc.).
Si on regarde de plus prêt …
Il est nécessaire de se plonger dans les rapports de Microsoft et de Google, car Amazon ne fournit pas autant de détails dans ses rapports. Les services Google concernés par les demandes sont Youtube, Gmail, Google Voice et Blogger. Les services Microsoft concernés par les demandes sont Outlook, Skype, O365, Xbox, AZURE, etc.
D’un point de vue géographique, nous pouvons identifier les pays qui sont les plus concernés par ces demandes pour le second semestre 2020 :
Microsoft
- Seuls quelques pays sont concernés par la grande majorité des demandes :
- Pour Microsoft : 6 pays ont été concernés par 900 requêtes ou plus au cours du 2éme semestre 2020, ce qui représente plus de 77% de l’ensemble des requêtes.
- Pour Google : 11 pays ont été concernés par plus de 900 requêtes au cours du 2éme semestre 2020, ce qui représente plus de 90% du total des requêtes.
- Les autorités françaises se situent à la 4e place de chaque fournisseur en ce qui concerne l’émission de demandes :
- Pour Microsoft 10% des demandes sont émises par les autorités françaises
- Pour Google, 8% des demandes sont émises par les autorités françaises.
En outre, nous pouvons analyser le nombre de demandes qui aboutissent en prenant le nombre de données divulguées aux autorités et la proportion qu’elle représente par rapport au nombre total des demandes. Dans la suite de l’article, nous parlerons de « divulgation des données » dans le cadre d’une requête de données ayant abouti pour les autorités.
Microsoft
- Le pourcentage de demandes des autorités qui conduisent à la divulgation de données est assez similaire pour Microsoft et Google et se situe entre 50 % et 75 % (Microsoft) et entre 55 % et 88 % (Google).
- Cependant, il existe quelques disparités en fonction des pays. Par exemple, les autorités françaises ont obtenu l’accès aux données dans 52 % des cas suite à leur demande pour Microsoft, alors qu’elles ont obtenu l’accès aux données dans83 % des cas suite à leur demande pour Google.
Au vu des données brutes, on peut conclure à première vue que la divulgation de données aux autorités est plus probable sur les services de Google que pour ceux de Microsoft. Une explication peut être le fait que les services Google s’adressent davantage aux particuliers qu’aux entreprises et que les services Google sont plus largement utilisés (Outlook 400 millions d’utilisateurs contre Gmail 1,5 milliard d’utilisateurs). En outre, les demandes des autorités sont émises dans le cadre d’affaires pénales qui sont plus susceptibles de concerner des particuliers, ce qui signifie que ces demandes seront plus susceptibles d’être envoyées à Google.
Prise de recul – Comment les demandes des autorités ont-elles évolué depuis 2013 pour Google et Microsoft ?
Si nous compilons les rapports depuis 2013, nous pouvons identifier les tendances concernant la divulgation des données suite à la mise en œuvre du C.LO.U.D. Act.
Il convient de noter que dans le rapport de Microsoft, les demandes rejetées et les demandes approuvées mais pour lesquelles aucune donnée n’est découverte sont classées dans la catégorie « Demande de données n’entraînant aucune divulgation de données ».
- Le nombre total de demandes semble se stabiliser autour de 20k-25K par semestres depuis le second semestre 2016, idem pour les comptes/utilisateurs concernés, qui se situent autour de 40K-50K demandes.
- La distribution a tendance à évoluer, notamment en ce qui concerne les demandes rejetées :
- Une petite partie concerne les données content, généralement environ 5% des demandes
- Plus de la moitié sont des demandes de données non content
- Une part à peu près égale de 15% chaque semestre est constituée de demandes pour lesquelles les données n’ont pas été trouvées
- Les demandes rejetées ont augmenté depuis 2013 pour atteindre près d’un quart des résultats des demandes
- Au total, plus de 40 % des demandes n’aboutissent pas à la communication de données aux autorités
- Le nombre total de demandes est en croissance forte depuis 2018 pour atteindre plus d’une centaine de milliers de demandes durant son premier semestre. Cela peut s’expliquer par l’augmentation du nombre de pays qui sont inclus dans les rapports de Google (68 en 2013 contre 85 en 2020), l’omniprésence des services Google dans la vie individus, ainsi que la publication du C.L.O.U.D Act en 2018.
- L’évolution des demandes tend vers l’augmentation de la divulgation des données à partir de 2018 et de la publication du C.L.O.U.D Act. Cependant, depuis le début de la publication des rapports en 2013, le pourcentage de données divulguées a toujours été compris entre trois et quatre cinquième.
Conclusion
Après analyse de la situation globale, tous les fournisseurs de Cloud ne sont pas dans la même situation :
- Amazon ne fournit pas d’informations détaillées concernant l’emplacement des données divulguées ou le pourcentage de données divulguées sur l’ensemble des demandes.
- Google reçoit plus de demandes de la part des institution que Microsoft et divulgue plus souvent des informations que Microsoft, ce qui peut s’expliquer par le fait que les services de Google sont davantage destinés aux particuliers qu’aux entreprises.
Néanmoins, la décision de divulguer l’information est entre les mains des institutions juridiques et non des fournisseurs de Cloud (même s’ils peuvent contester la demande). Par conséquent, les fournisseurs de Cloud ne peuvent être tenus responsables de la quantité de données qu’ils divulguent aux autorités par contraintes légales.
De plus, même si nous comptons plusieurs milliers de demandes légales concernant plusieurs dizaines de milliers d’utilisateurs, cela ne représente qu’une infime partie de la quantité totale de données traitées par les principaux fournisseurs de Cloud. les procédures d’accès aux données restent exceptionnelles. De plus, les demandes concernent principalement les logins et les métadonnées, il n’y a, pas de cas avéré d’espionnage industrialisé avec récupération massive de données.
Enfin, gardez à l’esprit que ces statistiques ne peuvent pas être contestées ou agrégées avec d’autres sources, il s’agit uniquement du bon vouloir des fournisseurs de Cloud de divulguer les données et les rapports, il faut donc les aborder avec précaution.
En tout cas, la notion de Cloud de confiance devient essentielle pour toutes les entreprises, les fournisseurs de Cloud ainsi que les autorités tendent à s’impliquer davantage sur le sujet comme en témoigne le nouveau partenariat entre Thales et Google pour construire une offre de Cloud souverain ou bien l’évolution prévue de la qualification SecNumCLOUD de l’ANSSI.