Microsoft a reconnu, auprès de l’autorité de la police écossaise, qu’elle ne pouvait pas garantir la souveraineté des données hébergées dans son infrastructure Azure. L'information fait écho aux inquiétudes en France sur la Plateforme des données de santé (HDH). Pour le député Philippe Latombe, c'est la preuve que les données sensibles ne peuvent pas être confiées à Microsoft.
Avec le cloud, on le sait, les données voyagent. Les règles souples qui gouvernent la plupart des « hyperscalers » raisonnent en termes d’efficacité et de rapidité de traitement, avant toute autre considération. Quand la sensibilité et la souveraineté des données deviennent des paramètres prépondérants, les ennuis commencent.
Au Royaume-Uni, la partie 3 de la Data Protection Act (DPA) de 2018 pose que pour les entreprises traitant des données très sensibles et pour les administrations, les informations ne doivent pas sortir des frontières du pays. Si elles sont placées sur des serveurs, ces derniers doivent se trouver sur le sol britannique. C’est notamment le cas pour la police.
Or, selon des documents partiellement révélés, Microsoft ne peut garantir la souveraineté des données de police stockées dans Azure. Explications.
Les données ne tiennent pas en place
L’un des systèmes informatiques de la police écossaise, nommé DESC (Digital Evidence Sharing Capability), utilise l’offre Azure de Microsoft pour le stockage de ses données, dont les informations biométriques. Techniquement, ce n’est pas la police elle-même qui stocke ses données, mais la solution développée par la société Axon, en contrat avec la police pour ce système informatique.
Des documents, vus par Computer Weekly, montrent plusieurs éléments. D’une part, que les données hébergées dans Azure sont régulièrement transférées et traitées dans un autre pays. Problème, c’est une violation flagrante de la loi sur la protection des données.
D’autre part, et en conséquence logique, que l’accord de traitement des données mis en place pour le DESC ne couvre pas les exigences de la loi sur la DPA. Par extension, et comme souligné par le consultant indépendant Owen Sayers interrogé par nos confrères, qu’il en va probablement de même pour l’ensemble des administrations du Royaume-Uni.
Or, à cause de l’extraterritorialité de certaines lois américaines, Cloud Act en tête, les États-Unis peuvent exiger de n’importe laquelle de leurs entreprises qu'elle leur fournisse des données hébergées sur le cloud.
Suivre le soleil
« Ils ont confirmé pour la première fois qu'une garantie de souveraineté pour les données au repos (ce qu'ils accordent) ne s'étend pas aux données en cours de traitement (ce que tout le monde a choisi de supposer) et ne couvre pas l'assistance (ce que tout le monde a ignoré) », a ainsi déclaré Sayers.
Il y a un distinguo très clair entre des données statiques et celles en cours de traitement. En fonction des opérations demandées et ressources disponibles, les informations peuvent effectuer des voyages, le temps d’être traitées sur des serveurs disponibles ou spécifiques à certaines opérations. Même quand lesdits serveurs se trouvent physiquement hors des frontières.
Owen Sayers souligne en outre que les mesures de souveraineté pratiquées par Microsoft ne s’étendent pas aux demandes de support. Cette assistance peut, elle aussi, entrainer des transferts internationaux. Un fonctionnement dû à l’approche « follow the sun » (« suivez le soleil »), qui consiste à pouvoir offrir une assistance au client, quelle que soit sa position géographique.
Personne n’avait demandé
Selon nos confrères, des aménagements vont être réalisés par Microsoft, maintenant que l’information est publique. Ces changements vont toutefois n’être apportés que pour le DESC et les systèmes avec lequel il est directement en contact, notamment tout ce qui touche aux polices du Royaume-Uni. Plusieurs d’entre elles feraient désormais remonter des questions sur le DESC et la manière dont sont stockées les données. Ni Microsoft, ni Police Scotland n’ont souhaité commenter le contenu de ces modifications.
On sait cependant qu’un addendum a été fait sur le contrat de traitement des données. En outre, Microsoft a reconnu que le contrat ne « couvrait pas les exigences du RGPD et de la partie 3 du Royaume-Uni ». Au sujet du RGPD, les avocats de Microsoft ont précisé qu’il s’agissait de la « norme de référence », mais que chaque client devait déterminer si le cadre convenait aux données traitées. Quant à la partie 3, elle fait référence à la troisième partie de la loi britannique sur la protection des données, celle ayant trait notamment aux données des polices.
Owen Sayers semble avoir été le premier à poser des questions précises sur le contrat, aidé par la loi FOI (Freedom of Information Act), dès 2019. Des soupçons existaient cependant. Nicky Stewart, anciennement chargée des technologies de l’information au Bureau du Cabinet, a déclaré que « la plupart des personnes connaissant le fonctionnement des clouds publics à grande échelle étaient au courant de ces questions de souveraineté des données depuis des années », pointe Computer Weekly.
Un écho au Health Data Hub
La situation fait largement écho à la problématique du Health data Hub (Plateforme des données de santé) en France. Depuis plusieurs années, la plateforme stocke les données de santé dans Azure. Selon plusieurs de nos sources, les investissements ont été massifs et le personnel technique a largement développé son expertise technique sur les produits de Microsoft. Au point qu’il serait complexe aujourd’hui de revenir en arrière.
Pourtant, des voix s’élèvent depuis aussi longtemps sur le stockage dans Azure. Très vite, la question de la souveraineté des données était apparue. L’arrivée du Cloud Act et la modification de la loi FISA n’ont fait qu’accentuer les interrogations. En février dernier, la validation par la CNIL du stockage des données du projet européen EMC2 dans Azure a donné un coup de fouet aux critiques.
Les réponses de Microsoft sur le stockage des données britanniques viennent, en effet, porter un éclairage cru sur ce qu’il semble possible de faire sur Azure. En résumé, des données au repos stockées au sein des frontières, mais des opérations nécessitant un déplacement. Même chose pour les opérations de maintenance. Ces questions touchent également Bleu et S3NS, que nous avons contactées. Nous mettrons à jour cette actualité en cas de réponse.
« La preuve est faite »
Le député MoDem Philippe Latombe, commissaire à la CNIL et très impliqué sur les questions numériques, réclame depuis longtemps « la tête de la gouvernance du HDH » et l’arrêt de l’envoi de données à Microsoft.
Interrogé sur ces nouvelles informations, le député ne se dit « pas surpris ». « Ce qui est plus inquiétant en revanche, c’est que même Microsoft ne sait pas où vont les données. Ils n’ont même pas de cartographie de leur système. Et leur élasticité, présentée comme leur grande force, se fait avec tellement de tuyaux connectés les uns aux autres qu’ils ne savent plus », pointe Philippe Latombe.
Une nouvelle preuve, selon lui, que « les données sensibles ne peuvent pas être confiées à Microsoft ». Et c’est sans parler du chiffrement, pointe le député : « Les données au repos sont chiffrées, pas celles en mouvement ».
« C’est franchement gênant »
Le parallèle avec la Plateforme des données de santé est immédiat : « Le HDH nous dit qu’il n’y a pas de souci : "c’est chiffré et c’est nous qui avons les clés". C’est vrai pour les données au repos, pas pour les données en traitement. Or, la raison d’être du HDH est de faire du traitement, pas du stockage. Elles sont donc en mouvement et en clair. Donc le HDH nous raconte des carabistouilles depuis le début. Et maintenant que les Écossais ont obtenu des informations claires et un aveu de la part de Microsoft, c’est franchement gênant ».
Ces informations vont-elles nourrir la réflexion autour de la Plateforme ? « Bien sûr. Les bases de données anglaises contiennent des informations extrêmement sensibles, puisque les polices ont le droit de faire de la reconnaissance faciale. On est au niveau des données de santé niveau sensibilité. Il y aura un avant et un après. Et si je suis encore là le 8 juillet, je reposerai une question au gouvernement sur la base des confirmations de Microsoft », promet Philippe Latombe.
Commentaires (7)
#1
Je ne vois pas pourquoi.
Les données ne sont pas traitées sur des machines de Microsoft. Il suffit que tous les serveurs de Bleu ou S3NS soient en France sous leur contrôle pour qu'il n'y ait pas de problème même pour les données en traitement qui resteront sous leur contrôle. Et pareil pour l'aspect maintenance. Sauf erreur de ma part, c'est tout l'intérêt de ses société : isoler complètement leurs serveurs de Microsoft et des lois US.
#1.1
Enfin, plus "trivialement", sur un autre registre que le pompage et l'accès aux données, la simple utilisation d'un logiciel US donne des droits au DoJ sans égards pour les lois internationales. À titre perso je m'en tape un peu, mais si j'étais "capitaine d'industrie" comme on dit, ça me laisserait songeur... Mais puisqu'on met déjà tout ça partout dans les entreprises, pourquoi pas bleu ou sens ? C'est "pas pire". Triste ambition...
#1.2
#1.3
#1.4
#2
J'ai toujours considéré que vouloir faire du Cloud public pour privatiser était un non sens. Même si certains CSP savent le faire mieux que d'autre, cela reste un gymnastique compliquée qui oblige à empiler des couches et des couches de gestion et ne me semble pas efficient entre matière de MCO vu le nombre d'ETP qu'il faut pour maintenir tout ça derrière.
#3
Il est parfaitement clair depuis une décennie que le droit à portée extra-territoriale des États-Unis permet aux autorités d'accéder aux données quelque soit la localisation géographique du stockage, pourvu que l'entité dépende du droit États-unien, ce qui est mécanique pour toute entreprise disposant de son siège chez eux.
Plus récemment a été réaffirmé, cette fois officiellement, que cette législation s'appliquait aussi aux données de non-États-uniens résident à l'étranger. Il est donc désormais officiel que les États-unis se réserve le droit de collecter et exploiter légalement les informations sur absolument tout le monde, à partir du moment ou cela transite par une entité sur laquelle ils ont autorité.
Je précise "officiellement" car cela fait maintenant 10 ans qu'il a été explicitement prouvé qu'ils faisaient déjà cela de manière officieuse/illégale… et que la pratique était déjà solidement ancrée dans leurs administrations d'espionnage.
Découvrir cela en 2024 pour des régulateurs relève de l'incompétence, et pour des citoyens de la volonté de cécité.
Faire semblant de découvrir cela permet de se déresponsabiliser.
Incroyable que l'on soit encore coincé au moment du constat, alors que nous avons au moins une voire plusieurs décennies de retard sur la contre-attaque.
Les technologies États-unienne pullulent dans les institutions, qu'elles soient par exemples gouvernementales ou éducatives… Les universités abreuvent même leurs étudiants via MSDN-AA ! Et je ne parle même pas de la catastrophe industrielle nationale dans les entreprises. En existe-t-il qui aujourd'hui arrivent à échanger sereinement avec d'autres sans ces technologies ?
Les technologies employées façonnent les comportements et donc le fonctionnement d'un groupe d'individus, de quelque taille il soit. Il serait temps de le réaliser, de comprendre que cela façonne une nation… et de contre-attaquer d'urgence plus fermement et plus rapidement, en enjoignant à la désescalade.
Historique des modifications :
Posté le 26/06/2024 à 12h52
Mais… "la preuve est faite" depuis fort longtemps, sauf si on ne veut pas voir !
Il est parfaitement clair depuis une décennie que le droit à portée extra-territoriale des États-Unis permet aux autorités d'accéder aux données quelque soit la localisation géographique du stockage, pourvu que l'entité dépende du droit États-unien, ce qui est mécanique pour toute entreprise disposant de son siège chez eux.
Plus récemment a été réaffirmé, cette fois officiellement, que cette législation s'appliquait aussi aux données de non-États-unien résident à l'étranger. Il est donc désormais officiel que les États-unis se réserve le droit de collecter et exploiter légalement les informations sur absolument tout le monde, à partir du moment ou cela transite par une entité sur laquelle ils ont autorité.
Je précise "officiellement" car cela fait maintenant 10 ans qu'il a été explicitement prouvé qu'ils faisaient déjà cela de manière officieuse/illégale… et que la pratique était déjà solidement ancrée dans leurs administrations d'espionnage.
Découvrir cela en 2024 pour des régulateurs relève de l'incompétence, et pour des citoyens de la volonté de cécité.
Faire semblant de découvrir cela permet de se déresponsabiliser.
Incroyable que l'on soit encore coincé au moment du constat, alors que nous avons au moins une voire plusieurs décennies de retard sur la contre-attaque.
Les technologies États-unienne pullulent dans les institutions, qu'elles soient par exemples gouvernementales ou éducatives… Les universités abreuvent même leurs étudiants via MSDN-AA ! Et je ne parle même pas de la catastrophe industrielle nationale dans les entreprises. En existe-t-il qui aujourd'hui existent et arrivent à échanger avec d'autres sans ces technologies ?
Les technologies employées façonnent comportement et donc le fonctionnement d'un groupe, de quelque taille il soit. Il serait temps de le réaliser et… de contre-attaquer.
Posté le 26/06/2024 à 12h53
Mais… "la preuve est faite" depuis fort longtemps, sauf si on ne veut pas voir !
Il est parfaitement clair depuis une décennie que le droit à portée extra-territoriale des États-Unis permet aux autorités d'accéder aux données quelque soit la localisation géographique du stockage, pourvu que l'entité dépende du droit États-unien, ce qui est mécanique pour toute entreprise disposant de son siège chez eux.
Plus récemment a été réaffirmé, cette fois officiellement, que cette législation s'appliquait aussi aux données de non-États-uniens résident à l'étranger. Il est donc désormais officiel que les États-unis se réserve le droit de collecter et exploiter légalement les informations sur absolument tout le monde, à partir du moment ou cela transite par une entité sur laquelle ils ont autorité.
Je précise "officiellement" car cela fait maintenant 10 ans qu'il a été explicitement prouvé qu'ils faisaient déjà cela de manière officieuse/illégale… et que la pratique était déjà solidement ancrée dans leurs administrations d'espionnage.
Découvrir cela en 2024 pour des régulateurs relève de l'incompétence, et pour des citoyens de la volonté de cécité.
Faire semblant de découvrir cela permet de se déresponsabiliser.
Incroyable que l'on soit encore coincé au moment du constat, alors que nous avons au moins une voire plusieurs décennies de retard sur la contre-attaque.
Les technologies États-unienne pullulent dans les institutions, qu'elles soient par exemples gouvernementales ou éducatives… Les universités abreuvent même leurs étudiants via MSDN-AA ! Et je ne parle même pas de la catastrophe industrielle nationale dans les entreprises. En existe-t-il qui aujourd'hui existent et arrivent à échanger avec d'autres sans ces technologies ?
Les technologies employées façonnent comportement et donc le fonctionnement d'un groupe, de quelque taille il soit. Il serait temps de le réaliser et… de contre-attaquer.
Posté le 26/06/2024 à 12h54
Mais… "la preuve est faite" depuis fort longtemps, sauf si on ne veut pas voir !
Il est parfaitement clair depuis une décennie que le droit à portée extra-territoriale des États-Unis permet aux autorités d'accéder aux données quelque soit la localisation géographique du stockage, pourvu que l'entité dépende du droit États-unien, ce qui est mécanique pour toute entreprise disposant de son siège chez eux.
Plus récemment a été réaffirmé, cette fois officiellement, que cette législation s'appliquait aussi aux données de non-États-uniens résident à l'étranger. Il est donc désormais officiel que les États-unis se réserve le droit de collecter et exploiter légalement les informations sur absolument tout le monde, à partir du moment ou cela transite par une entité sur laquelle ils ont autorité.
Je précise "officiellement" car cela fait maintenant 10 ans qu'il a été explicitement prouvé qu'ils faisaient déjà cela de manière officieuse/illégale… et que la pratique était déjà solidement ancrée dans leurs administrations d'espionnage.
Découvrir cela en 2024 pour des régulateurs relève de l'incompétence, et pour des citoyens de la volonté de cécité.
Faire semblant de découvrir cela permet de se déresponsabiliser.
Incroyable que l'on soit encore coincé au moment du constat, alors que nous avons au moins une voire plusieurs décennies de retard sur la contre-attaque.
Les technologies États-unienne pullulent dans les institutions, qu'elles soient par exemples gouvernementales ou éducatives… Les universités abreuvent même leurs étudiants via MSDN-AA ! Et je ne parle même pas de la catastrophe industrielle nationale dans les entreprises. En existe-t-il qui aujourd'hui arrivent à échanger sereinement avec d'autres sans ces technologies ?
Les technologies employées façonnent comportement et donc le fonctionnement d'un groupe, de quelque taille il soit. Il serait temps de le réaliser et… de contre-attaquer.