Je vous donnais il y a quelques jours mon sentiment sur l’affaire Prism qui agite tant Internet, et juste Internet… Car oui au café du coin, Prism on a pas grand chose à faire. En rire ? Pas en rire ? J’ai personnellement pris le parti d’en rire. Ce n’est pas la première fois que j’explique et que j’écris noir sur blanc que Google est la première agence non gouvernementale de renseignement du monde. Ce n’est pas non plus la première fois que j’explique que l’illusion de gratuité que vous offre un Facebook ou un Google est quelque chose de dangereux. On peut me reprocher de ne pas toujours m’adresser à notre bonne vieille madame Michu sur ce blog ou sur Reflets, mais limiter à Internet ce champs d’action est hors de propos, attendu qu’il m’arrive également d’exprimer ce genre de craintes sur des médias nationaux.
Oui il est légitime de rire de ces réactions, par contre, très franchement, je commence à sérieusement m’inquiéter quand je lis les solutions avancées par certains dirigeants. Notre madame Michu, si elle se laisse bercer par les inepties du ministère du pognon des Internets… elle n’est pas sortie de l’auberge.
Dans un article publié sur 20minutes, Fleur Pellerin, notre ministre déléguée chargée des PME, de l’Innovation et de l’Économie numérique, nous avance une solution assez amusante. Le titre nous donne tout de suite le ton : « L’affaire Prism rend «pertinent» de localiser les data centers en France« . Et voici la déclaration exacte :
«L’affaire Prism, si elle est avérée, rend pertinent de localiser les data centers et des serveurs sur le territoire national afin de mieux garantir la sécurité des données».
Je ne doute pas qu’il arrive au cabinet de Fleur Pellerin de lire Reflets.info… Aziz Ridouan, si vous me lisez, c’est le moment de corriger le tir niveau communication, car notre ministre s’égare en commettant une grossière erreur technique.
Quand Fleur Pellerin parle de garantir la sécurité des données, elle omet un léger détail. Les données des citoyens français et européens, comme ceux du monde entier, ne naissent pas et ne meurent pas sur des serveurs américains. Ces données, à un moment ou à un autre, elles transitent sur le réseau Internet, un réseau public, sur lequel les agences du monde entier (je vous invite à vous rapprocher de la Direction du Renseignement Militaire pour connaitre ses pratiques en terme de renseignement d’origine électromagnétique… ou par exemple de lire cet article) s’adonnent à de l’interception. Au passage, inquiétez vous aussi du stockage de données biométriques par nos amis américains.
La pseudo nouveauté de Prism, ce n’est pas que ces données soient interceptées mais qu’elles soient, après interception, stockées pour une durée indéterminée et pour une utilisation à posteriori. Voici un petit schéma qui vous explique relativement clairement le problème de la vulnérabilité des données qui circulent en clair sur Internet :
La grosse blague du cloud souverain
Parmi les pistes envisagées par Fleur Pellerin, il y en a une qui m’a clairement fait rire, le gogogadgetocloud©… mais un cloud « souverain ». Alors ça ressemble à quoi un « cloud souverain ». Attendu que la France, comme le monde entier est un gros consommateur d’équipements chinois et américains, la question est légitime. Le « cloud souverain français », ça ressemble à ça :
«La nécessité d’avoir un cloud souverain se pose avec beaucoup d’acuité», comme un «moyen pour des entreprises qui détiennent des informations stratégiques de protéger leurs données», a-t-elle souligné.
Le gros des interceptions se réalisent sur des points de concentration du trafic, au cul des câbles sous marins très souvent. Si une « donnée sensible » est envoyée dans un « cloud français » (PS : données sensibles, cloud ?! WTF?!) sans que l’on prenne soin de les envoyer via un VPN (un tunnel chiffré de bout en bout), ces données auront fait 4 fois le tour du monde avant d’arriver dans notre cluster de minitels ultra sécurisés (notre cloud français… cocorico). Bref si vous me suivez jusque là, vous devez déjà avoir compris que la solution avancée par Fleur Pellerin, c’est de la foutaise.
Ajoutons à ça que le principe d’un cloud sécurisé inclu la notion de résilience (DNS, connectivité, infrastructure physique, risque juridique…) et implique donc une présence dans plusieurs pays… nos datas dans notre cluster de minitels, elles circuleront de pays en pays. Ces données, mêmes chiffrées seront interceptées et stockées par la NSA. Et on se doute bien comme expliqué sur Reflets, qu’un jour où l’autre elle seront déchiffrées.
Un autre point au passage, la France n’a pas attendu les déclaration d’un ministre pour disposer de datacenters… dieu merci. Des entreprises comme Iliad, OVH, LDCom et bien d’autres ont réalisé des investissements très importants pour se doter de datacenters de qualité.
London’s loling
En allant plus avant dans la lecture de l’article de 20minutes la dépêche AFP reprise sans la moindre once de réflexion sérieuse, on se rend vite compte à quel point il est néfaste pour Internet de dépendre de Bercy. La sortie téléguidée de Fleur Pellerin s’inscrit dans la droite lignée de celle d’Arnaud Montebourg sur le Made in France. Sauf que pour le coup, les solutions évoquées en plus d’être techniquement à côté de la plaque, peuvent poser quelques problèmes d’ordre plus … subjectif ?
Les groupes SFR et Bull (Numergy), puis Orange et Thales (Cloudwatt), ont chacun lancé fin 2012 de grands projets concurrents pour proposer aux entreprises et aux administrations françaises des solutions de «cloud computing» assurant le stockage sur le territoire national les données sensibles et qu’elles ne soient pas soumises au Patriot Act.
« Faisez confiance à Bull et Thalès qui eux au moins n’interceptent rien du tout, mettez vos données sensibles en sécurité chez les fous furieux dont l’un des coeurs de métier est … l’interception massive ou judiciaire… et qu’ils vendent à des Kadhafi« . On imagine bien nos camarades européens avoir une confiance aveugle en notre cloud souverain… particulièrement les anglais qui depuis l’UKUSA hébergent des bases d’interception du réseau Echelon sur leur territoire.
Donc oui… je le réaffirme. Nos politiques se payent joyeusement notre tête quand ils miment de découvrir que les américains ont accès à nos données, qu’ils tombent des nues en faisant mine de découvrir le Patriot Act en 2013… et ils se foutent carrément de nous quand ils nous balancent leurs solutions à 2ct.
Dans la droite ligne, les hôpitaux vont et iront de plus en plus vers le cloud « maitrisé » ou pas. Les équipes informatiques ne sont pas dimensionnées pour garder dans les conditions exigées de sécurité (notamment l’intégrité) les données patients, surtout dans les petits hôpitaux/cliniques. Alors, comment garantir la confidentialité de nos données de santé ?
Depuis quelques années, une législation impose que tout professionnel de santé qui stocke ou traite ses données sur une infrastructure qui n’est pas la sienne ne puisse faire appel qu’à un prestataire agréé en Hébergement de données de santé, agrément obtenu auprès du ministère de la santé.
Sauf que l’obtention de l’agrément Hébergeur de données de santé ne se fait que sur l’analyse d’un dossier, avec seulement la possibilité d’un audit après l’obtention de l’agrément. Même si le dossier est lourd et nécessite un réel investissement, il arrive que des hébergeurs ne soient pas totalement prêts et l’infrastructure conforme à ce qui est décrit dans le dossier.
Ensuite cela ne protège pas forcement le transit des données, souvent ces applications sont accessibles depuis le Web, sans VPN.
Et il y a un troisième problème qui est la formation et la sensibilisation du personnel médical. Ce n’est pas rare que des informations médicales transitent par mail (non chiffré bien sûr), par dropbox ou même des photos envoyées par smartphone.
Je ne peux malheureusement pas me joindre à cette conversation et c’est fort dommage, NDA oblige, mais il y aurait beaucoup de choses à redire à propos de l’agrément hébergeur de données de santé…
C’est exactement aux points 2 et 3 auxquels je voulais venir. Le cas 3 est une réalité que j’ai vue en effet (dropbox).
« agrément obtenu auprès du ministère de la santé. »
Oui… c’est un peu comme aller faire réparer sa voiture chez le boulanger.
Typo : » Faisez confiance à Bull et Thalès … »
Le verbe faire à la seconde personne du pluriel donne « faites » pas « faisez ».
On peut supposer que c’est fait exprès. C’est une blague que je fais personnellement régulièrement…
Je confirme, que ceci est volontaire…j’aurais du ajouter « allez les gens, faisez confiance… »
Ma qué ? Ces politiciens sont des cons.
Bah, c’est pas un scoop.
Bluetouff, j’aime bien votre style, si vous passera vers chez moi, viendez boire une bière.
Fleur Pellerin est du niveau de NKM point de vu technologique : elles ne savent pas de quoi elles parlent
Un peu nuageuse cette sortie de la ministre 😉
Un coup de chaud probablement 😉
Donc, le message est ?
Entreprises, continuez à utiliser Amazon et Google ou votre propre système sans aucune sécurité ?
Le message est qu’avant de donner des solutions débiles, on commence par annalyser le problème.
Le message est « entreprises, chiffrez et anonymisez les données, peu importe où vous les stockez, elles passeront un jour ou l’autre pas des routeurs backdoorés par la NSA ou les services d’un autre pays ».
« Sans aucune sécurité ? »
Please define sécurité.. PS je vois pas en quoi un cluster de minitel est plus sécurisé que le cloud amazon
C’est pas aux ministres de faire des analyses de problèmes, c’est le boulot des spécialistes. Le boulot des ministres est de médiatiser qu’il y a peut-être un problème et de faire en sorte que la population soit à minima sensibilisée, d’agir, de légiférer, …
Je ne comprend toujours pas, vous ne voyez pas l’intérêt d’avoir un cloud qui suit la même réglementation que les les entreprises qui l’utilisent ?
Après, je suis entièrement d’accord que la sécurité et le cloud (et internet d’ailleurs) sont encore pour le moment antinomique.
Après, c’est à chaque entreprise de définir ce qu’est la sécurité, avec l’aide de professionnels et non d’une ministre. Pensez-vous que le RSSI d’EDF va sauter et faire confiance à 100% à numergy ou cloudwatt ?
Vos messages sont parfois intéressants (d’ou ma présence ici) mais aussi parfois populistes, comme celui-ci : vous n’aimez pas l’industrie française et les politiques du pays ? génial !
Vous trouvez que les ministres devraient avoir une petite centaine de thèses à leur actif pour avoir le droit d’occuper ces postes ? génial !
D’ailleurs, excusez du peu, mais certains commentaires fleurent bon le popullo à plein nez aussi : ces politiciens, tous de gros nullos, moi je ferais mieux, lol.
Tout à fait, rien de nouveau, le cabinet noir de Louis XV faisait exactement ça, à la plume et à la main. Sur tout le territoire et à l’étranger. Les nœuds étaient les relais de poste principaux et les ambassades. Les messages chiffrés étaient conservés pour plus tard jusqu’à ce qu’on parvienne à en casser le chiffrement ou pour aider à en décrypter d’autres. Ils ont tout inventé. Cocorico. Lire Le secret du roi de Gilles Perrault en trois volumes.
Je me pencherai bien à faire un petit strip BD avec au lieu d’un courrier électronique, changer le mail en courrier postal. Histoire d’imager pour Mme Michu que son courrier fait un sacrée trajet avant de finir chez le destinataire