Close

Questions naïves sur le cloud et la sécurité de nos données

plateforme cloud pixabay

Source: Pixabay

Après de nombreuses discussions avec différents interlocuteurs, le nombre de questions concernant notre addiction aux plateformes cloud n’a cessé de croître. Je me suis beaucoup intéressé au sujet, sur des aspects que je trouve clés et importants liés à la souveraineté numérique, logicielle, d’hébergement et de données. Cependant, plus j’avançais dans mes recherches et ma compréhension des enjeux, plus de nouvelles questions surgissaient, qui ne faisaient que me montrer la complexité du sujet et de ses enjeux…

Une plateforme cloud c’est tout d’abord une infrastructure de serveurs

Conceptuellement, il serait bon de rappeler quelques informations clés sur le principe des plateformes cloud sur lesquelles sont bâtis notamment les réseaux sociaux (RS). Ce dont je vais vous parler est applicable à l’ensemble des plateformes cloud que vous utilisez et ce, quel qu’en soit l’usage.

Une plateforme cloud c’est tout d’abord une infrastructure de serveurs dématérialisés dans un ou plusieurs Data Centers, dont l’opérateur de la plateforme est propriétaire ou pas. Sur cette première couche de bas niveau est ensuite construite la plateforme logicielle elle-même. Cette architecture technique et logicielle entraine une complexité accrue, dans la gestion et maintenance de ces solutions et donc par la même des aspects de sécurité.

Examinons ces aspects de sécurité qui posent interrogation en fonction de l’architecture et des parties prenantes :

  • L’éditeur qui gère son infrastructure lui-même. Les problèmes de sécurité externe ne se posent pas car lui seul y a accès. Restent les problèmes de sécurité liés à ses employés qui travaillent sur la maintenance et gestion de l’infrastructure. Le seul moyen de se protéger d’une mauvaise utilisation des données est contractuel, avec les limitations que cela comporte.
  • L’éditeur de la plateforme peut également avoir recours à un prestataire dans le cadre de l’infogérance de son infrastructure qui elle est hébergée chez ce tiers, mais ces serveurs sont dédiés à l’éditeur. La gestion et maintenance technique des serveurs physiques sur lesquels sont hébergés les serveurs virtuels sont effectuées par le prestataire qui dispose des accès administrateur sur ces éléments, lui permettant d’effectuer les opérations de maintenance. On peut aussi imaginer que ces accès lui permettent de commettre un acte de malveillance (copie de serveurs, suppressions de serveurs, etc…) Le moyen de s’en protéger est ici aussi contractuel, toujours avec les limites que représentent ce type de protection…
  • L’éditeur a recours à un cloud public, l’infrastructure sous-jacente à sa plateforme n’est plus nécessairement dédiée, cela implique un partage de l’infrastructure avec des tiers, il y a un cloisonnement nécessaire qui impose que l’éditeur n’a pas accès aux couches les plus basses. Seul le fournisseur de cloud à la maitrise de l’infrastructure en termes de gestions, maintenance et sécurité…

Pour chacun des maillons l’ultime protection est d’ordre contractuelle avec leurs employés ayant des accès super administrateurs. Il est donc évident que plus on a recours à des prestataires, plus on délègue les aspects sécuritaires de son produit à un ou des tiers…

Cela signifie que ces personnes qui ont un accès administrateur étendu, ont donc accès à vos données

L’hébergement n’est que le premier échelon. On arrive ensuite à la partie logicielle, qui propose les fonctionnalités et permet de stocker, partager (ou pas), d’analyser vos données. Tous ces composants, vos données incluses, sont sous administration des équipes de la plateforme. Comme pour chaque application informatique plus classique sur votre ordinateur, il existe un profil administrateur, indispensable afin d’effectuer la maintenance de corriger des bugs (patch correctif), ou même de modifier des éléments vous concernant auxquels vous n’avez plus accès. Cela signifie que ces personnes qui ont un accès administrateur étendu, ont donc accès à vos données. Ces dernières incluent votre profil, donc identifiant et mot de passe… On m’objectera que ces informations sont chiffrées et que donc qu’ils n’ont pas accès à vos données en clair, cependant on peut se demander qui possède la clé de chiffrement, et s’il s’agit du fournisseur de services, autant dire qu’il a accès à l’ensemble de vos données. Bien entendu il existe la « protection » juridique liée au contrat de travail desdits administrateurs…

Ces plateformes qui vous proposent de pouvoir vous identifier grâce à vos comptes de RS, ont-ils pris en compte la totalité des aspects de sécurité?

Comme vous pouvez le constater, quand on creuse, de nombreuses questions se posent… Mais cela ne s’arrête pas là, ce serait trop simple… Face à l’hégémonie des réseaux sociaux américains, une nouvelle façon de créer un profil ou de se connecter à de nouvelles plateformes et ce, quel que soit le but recherché a émergé :  Utilisez donc votre compte #Facebook ou #LinkedIn ou #Google pour vous inscrire ou vous connecter plus facilement. C’est tentant, un seul clic suffit. Cependant, cela pose un problème de sécurité car c’est comme si vous demandiez à un inconnu de garder vos clés de maison pour pouvoir vous rendre dans une de vos résidences, avec la garantie qu’ils n’iront pas à votre place… De plus, vous confiez la totalité ou la majorité de vos clés au même prestataire. Cela ne vous fait-il pas réfléchir ?

Si l’on se recentre maintenant sur le RS américain en particulier, lorsque vous utilisez votre compte FB, Linkedin, Google etc. pour vous connecter à une autre plateforme, c’est leur donner les clés pour accéder à une plateforme qui est normalement hors de leur champ d’action.

Je n’en suis pas sûr, mais pensez-vous qu’il soit judicieux d’utiliser cette option même lorsqu’elle vous est proposée ? Qui peut vous garantir que le jour où l’Etat américain décidera de vous chercher des poux dans la tête, il n’accédera pas à votre place aux applications que vous utilisez et dont vous avez délégué les clés à un acteur américain qui est donc régi par la législation américaine ? Ces applications ou plateformes auxquelles vous pouvez vous connecter ne sont d’ailleurs pas nécessairement à usage privé, elles peuvent être à usage professionnel (plateforme collaborative, etc…).

On peut également se demander si les concepteurs de ces plateformes qui vous proposent de pouvoir vous identifier grâce à vos comptes SR, ont réfléchi à tous les aspects sécuritaires. Se faciliter la vie, sans tenir compte des exigences de sécurité, est-ce un jeu qui en vaut la chandelle ? De plus, si cette plateforme se dit souveraine, l’est-elle vraiment même si elle offre une porte d’accès potentielle aux plateformes numériques américaines ou chinoises ?

Comme vous pouvez le constater, lorsque nous nous intéressons à la souveraineté numérique, nous devons explorer les multiples dimensions du sujet. Parfois, il faut s’interroger sur la nécessité de mettre en place des fonctionnalités qui simplifient effectivement la vie des utilisateurs mais qui peuvent conduire à des failles de sécurité, voire à une perte effective de souveraineté concrète. En effet, compte tenu des lois extraterritoriales telles que les lois américaines et probablement chinoises et des relations des géants du numérique avec leurs gouvernements respectifs, on peut se demander s’il y aura une quelconque hésitation à aller chercher des données grâce au fait que vous avez accepté d’utiliser votre compte #Facebook ou #google pour vous identifier sur une plateforme dite souveraine.…

Cette vision est probablement teintée d’une suspicion à l’égard des acteurs du numérique américains et chinois

Je ne nie pas que cette vision est probablement teintée d’une grande suspicion envers les acteurs numériques américains et chinois. Entre la possibilité théorique d’une utilisation frauduleuse de votre accès et le passage à l’acte, il y a un pas que beaucoup hésiteraient à franchir. Pour ma part, je pose la question, afin que des personnes techniquement plus compétentes que moi puissent lever ce doute légitime à mes yeux. Par ailleurs, connaissant la propension qu’ont nos « alliés » américains à utiliser toutes les armes possibles pour maintenir leur hégémonie dans le monde numérique et réel, c’est un sujet à ne pas négliger…

 

scroll to top