Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le Pentagone envisage de placer des données sensibles dans le cloud

Mais un compte Dropbox ne suffira pas

Le Pentagone envisage de placer des données sensibles dans le cloud

Le 09 octobre 2014 à 13h20

Alors que les questions de sécurité informatique n’ont jamais été aussi vives, le Pentagone américain envisage de placer certaines données classés et particulièrement sensibles dans le cloud. Le ministre de la Défense considère plusieurs options pour y parvenir, la sécurité jouant un rôle crucial dans tous les cas.

La sécurité dans un contexte particulièrement riche

L’année 2013/2014 a été marquée par deux types d’évènements singuliers qui ont largement modifié la manière dont le grand public considère la sécurité informatique. D’une part, les révélations d’Edward Snowden, qui ont littéralement placardé la manière dont les agences de sécurité américaine (NSA en tête), espionnent et surveillent les communications mondiales. D’autre part, le nombre croissant d’attaques contre les réseaux des structures professionnelles et gouvernementales en vue d’en aspirer de précieuses informations.

 

La participation des grandes entreprises américaines à la chasse aux données personnelles des utilisateurs étrangers a très largement modifié la manière dont beaucoup considèrent les solutions de type cloud. La promesse d’une utilisation globale simplifiée est tenue, mais elle n’est plus le seul critère : la sécurité des informations confiées à ces prestataires et leur respect de la vie privée comptent désormais autant, voire davantage, pour une partie des utilisateurs.

 

C’est ainsi que l’on a pu voir dernièrement Apple rebondir sur ce créneau en ouvrant une section dédiée au respect de la vie privée sur son site officiel. Une lettre ouverte du PDG Tim Cook indiquait comment Cupertino gérait les données personnelles, notamment sur le fait qu’elles n’étaient pas exploitées à des fins publicitaires, ce qui est le cas chez Microsoft et Google. De même, l’annonce d’une surveillance des communications en Corée du Sud a provoqué le départ de plus de 1,5 million de personnes de Kakao Talk vers Telegram pour y profiter des sessions sécurisées de conversation.

Le Pentagone souhaite placer des données sensibles dans un cloud particulier 

C’est dans ce contexte « tendu » que le Pentagone, le puissant ministère américain de la Défense, a mis en ligne la semaine dernière un important document dans lequel il réfléchit à la possibilité de publier dans le cloud des documents frappés du sceau « Impact de niveau 6 ». Il s’agit du plus haut niveau de sensibilité d’une information classée secret-défense. Par exemple, une majorité des documents dérobés à la NSA par Edward Snowden étaient signalés comme « IL6 » (« Impact level 6 »).

 

Le document est préparatoire et se penche sur les pistes d’un tel mouvement qui, dans sa finalité, permettrait des échanges simplifiés d’informations entre certains services. Il pave la voie vers un appel d’offres, et des entreprises comme Amazon (EC2) ou Microsoft (Azure) seront probablement sollicitées pour fournir des propositions en phase avec les prérequis. Et ces derniers sont nombreux, comme on l’imagine facilement.

Deux solutions envisagées...

On ne peut profiter en effet des technologies du cloud aussi simplement que tout un chacun lorsqu’on est le Pentagone, comme le signale Information Week. La DISA (Defense Information Systems Agency) réfléchit ainsi à deux pistes principales :

  • Data Center Leasing Model (DCLM) : le fournisseur de la solution loue directement des serveurs au sein des infrastructures du DoD (Département de la Défense). Il installe donc sa solution sur les CDC (Core Data Centers), l’ensemble restant donc sous surveillance rapprochée de l’État.
  • On-Premise Container Model (OPCM) : l’entreprise fournit directement un package matériel et logiciel sous la forme d’un conteneur, qui est ensuite placé dans des locaux du DoD. L’aspect surveillance et contrôle reste à peu près le même que dans la première solution.

Le document explique que les deux solutions sont à pied d’égalité dans la mesure où les informations « de niveau 5 et 6 » résideront physiquement « dans, ou à côté, des centres de données du DoD ».

... mais toutes deux sous étroite surveillance

On peut donc voir que ce que le Pentagone considère ne correspond pas à l’idée première qu’on pourrait se faire d’un envoi dans le cloud. Il n’est pas question en effet de placer ces informations dans EC2, Azure ou d’autres solutions dans leur forme classique, c’est-à-dire de les héberger dans des infrastructures pour lesquelles le DoD n’aurait que peu de moyens de contrôles. En outre, les critères de sécurité de ces informations, caractérisées avant tout par leur potentiel de dangerosité, sont nécessairement très différents de ceux apposés sur les utilisateurs classiques de ces solutions.

 

Si de telles données devaient fuiter, le Pentagone considère que les conséquences seraient « extrêmement graves ». Pourtant, la position du Département a largement évolué au cours de l’année. En janvier, un rapport indiquait que les considérations sur l’utilisation du cloud pour les données de niveau 3 à 5 étaient encore seulement à l’état de brouillon. Dix mois plus tard, le ministère considère sérieusement la possibilité d’utiliser de telles solutions pour le stockage des données les plus sensibles.

Une prise de conscience généralisée 

Cette évolution de la situation est intéressante quand elle est mise en lumière avec la manière dont les États-Unis considèrent l’état actuel de la sécurité informatique pour ses agences et infrastructures. RT.com indiquait par exemple la semaine dernière que Beth Cobert, du White House Office of Management and Budget, abordait le cas des « menaces grandissantes de cybersécurité ». Le gouvernement américain réfléchit ainsi intensément à une révision assez générale de ses procédures de sécurité, notamment pour tout ce qui touche aux agences civiles. Le DHS (Department of Homeland Security) va ainsi mener « des analyses régulières et proactives » des systèmes en vue de vérifier que toutes les données sont protégées correctement, et ce, sans l’accord préalable des agences concernées.

 

Il y a quelques jours, le député républicain Mike Rogers, qui préside l’important House Intelligence Committee (qui avait rappelé à l’ordre plusieurs fois la NSA l’année dernière), exposait un avis particulièrement critique sur le niveau global de sécurité des réseaux américains. Selon lui, les États-Unis ne sont « pas préparés si le gouvernement fédéral décide de se lancer dans une action offensive ou perturbatrice, même en réponse [à une autre attaque] ». Il s’inquiète particulièrement du fait que le gouvernement ne possède que 15 % des réseaux, les 85 % restants étant détenus par le secteur privé. En d’autres termes, si les États-Unis devaient subir de vastes attaques informatiques, les dégâts seraient nombreux. Et les récents piratages d’entreprises, notamment de JP Morgan, vont dans ce sens.

 

C’est donc dans ce contexte tendu que le Pentagone devra faire son choix. On imagine aisément que les piratages, l’affaire Snowden et les défis permanents des cybermenaces ont amené le DoD à prendre bonne note du climat dangereux actuel pour les données sensibles.

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Surement la meilleur solution pour mettre en lieu sûr les rapport sur Roswell ou l’assassinat de Kennedy ^^

votre avatar

Pas de bras, pas de chocolat.



Pas de terrorisme, pas de guerre, pas de lois liberticides, ni de lobotomie.



Bel effet de levier proposé , encore une fois.

votre avatar

China and Russia approved this



<img data-src=" />

votre avatar

“Il s’inquiète particulièrement du fait que le gouvernement ne possède que 15 % des réseaux, les 85 % restants étant détenus par le secteur privé. En d’autres termes, si les États-Unis devaient subir de vastes attaques informatiques, les dégâts seraient nombreux. Et les récents piratages d’entreprises, notamment de JP Morgan, vont dans ce sens.”

&nbsp;

Le ministère de la défense (novlangue du ministère de la guerre…) pourrait nationaliser le réseau?

J’y crois moyen, a moins avis ils vont juste utiliser l’argent du ministère (donc l’argent publique) pour protéger le cul des grands groupe privés (puisque c’est eux les cibles) qui ne sont pas foutu de mettre plus de 0.24% de leur chiffre d’affaire dans la sécurisation de leur infrastructure (<img data-src=" /> JP Morgan).

&nbsp;

votre avatar

/mode paslulanews Si le Pentagone met ses données dans le cloud, c’est que ça doit être sécurisé <img data-src=" />

votre avatar

C’est tellement gros qu’on dirait un pot de miel <img data-src=" />

votre avatar







Reznor26 a écrit :



C’est tellement gros qu’on dirait un pot de miel <img data-src=" />





+1 ca ne m’étonnerait même pas^^. C’est le collectif des acteurs qui sont dans le pack “fappening” qui ont demandé au Pentagone de faire quelque chose contre ces méchants hackers.


votre avatar







ActionFighter a écrit :



/mode paslulanews Si le Pentagone met ses données dans le cloud, c’est que ça doit être sécurisé <img data-src=" />





La NSA veille, donc ça va, c’est les collègues :p


votre avatar







Reznor26 a écrit :



C’est tellement gros qu’on dirait un pot de miel <img data-src=" />





+1 Pour pouvoir accuser les méchants russes d’attaquer leur cloud&nbsp;


votre avatar

Du moment qu’ils ne mettent pas de photo de gens à poil

votre avatar

Je croyais que le principe du cloud était de virtualiser son infra un peu partout sur la planète afin de maximiser les bénéfices de la redondances de l’hébergement ?

votre avatar

S’ils font ça, c’est que leurs données ne valent pas un clou (d). Que des ragots sans importances…

votre avatar







Reznor26 a écrit :



C’est tellement gros qu’on dirait un pot de miel <img data-src=" />





Plus c’est gros, plus ça passe&nbsp;<img data-src=" />


votre avatar

Journée(s) porte(s) ouverte(s) <img data-src=" />

<img data-src=" />

votre avatar

D’abord ils tentent naivement de faire croire que le cryptage d’Apple est pour eux une source d’inquiétude, puis ils surfent sur le mot “cloud” (pour parler de simples data center, data warehouse…)



Si ce n’est pas dans la continuité de la campagne de séduction pour calmer les esprits et tenter de restaurer la confiance…,voir redorer le blason du “cloud”.



Ne pas oublier que derrière ces deux petits noms “cloud” et “cryptographie”, se cache une industrie de plusieurs centaines de milliards qui bénéficie en majorité aux firmes et à l’économie US.

votre avatar

Ce serait un étonnant paradoxe mais si la NSA se lançait dans le business de la sécurité il se placerait certainement dans le top des meilleures boîtes en la matière.

Si il y a bien une société qui doit connaître le plus large éventail de failles (et y contribuer) ou connaître moults moyen de percer et casser de la secure c’ est bien la NSA.

Bon après, c’ est sur que demander à un voleur pro de venir sécuriser sa maison c’ est peut être pas la solution la plus idéale dans la pratique…

votre avatar

Joli leurre.

votre avatar

Allez-y faites comme nous, on met nos données dans le Cloud : puisque le Pentagone le fait vous pouvez bien le faire !



&nbsp;(ils s’y connaissent en sécurité eux , hein !)

votre avatar

Après le directeur du FBi qui critique les méthodes de chiffrement d’Apple et Google, maintenant c’est le tour du Pentagone de faire de la pub, afin de restaurer la confiance dans le cloud et les sociétés américaines….. il ne faudra pas compter sur moi.

votre avatar







tic tac a écrit :



Ce serait un étonnant paradoxe mais si la NSA se lançait dans le business de la sécurité il se placerait certainement dans le top des meilleures boîtes en la matière.



La NSA est déjà une référence dans le monde de la sécurité vu que c’est elle qui “valide” les méthodes de chiffrement. De plus elle développe déjà des solutions de sécurité ex: SELinux

&nbsp;

&nbsp;





jeremy77 a écrit :



Après le directeur du FBi qui critique les méthodes de chiffrement d’Apple et Google, maintenant c’est le tour du Pentagone de faire de la pub, afin de restaurer la confiance dans le cloud et les sociétés américaines….. il ne faudra pas compter sur moi.





+1 ça sent l’opération de comm. à plein nez. Et puis le Pentagone ne s’est engagé à rien…

&nbsp;

Peut être qu’après que l’administration ait redorée leur blason ces boites là elle arrêteront de jouer les vierges effarouchées.


votre avatar

Ca veut dire quoi mettre leur données dans le “cloud” ? Qu’avant ils stockaient leur documents sur disquette et clé USB ?











fitfat a écrit :



Je

croyais que le principe du cloud était de virtualiser son infra un peu

partout sur la planète afin de maximiser les bénéfices de la redondances

de l’hébergement ?



Le cloud n’est qu’un terme marketing, personne n’a attendu le cloud pour faire de la redondance de données sur plusieurs data center avec plusieurs liens; serveur vituel, loué, ou acheté.


votre avatar

elles ne doivent pas être “si sensibles” que ça leurs données pour qu’ils SE PERMETTENT

&nbsp;de les mettre sur un lieu “aussi sûr” que le Cloud ?

&nbsp;

(chiche : qu’ils mettent les données d’Obama ?

&nbsp;“le Kennedy”, on s’en fout !!! )

votre avatar







jeremy77 a écrit :



Après le directeur du FBi qui critique les méthodes de chiffrement d’Apple et Google, maintenant c’est le tour du Pentagone de faire de la pub, afin de restaurer la confiance dans le cloud et les sociétés américaines….. il ne faudra pas compter sur moi.&nbsp;





  • une fois, qu’ils ont bien dézingué le “bouzin”

    &nbsp; &nbsp; (comme ils se sont rendus compte qu’ils sont allés, un peu, TROP loin)



  • maintenant, (ils essayent de redorer le blason du Cloud)

    &nbsp;&nbsp; en nous disant : “n’ayez crainte, même le Pentagone y dépose “ses secrets” :



  • ne-nous prendraient-ils pas pour des c… ?&nbsp; <img data-src=" />

    un peu, quand même !&nbsp; <img data-src=" />


votre avatar







yeti4 a écrit :





  • une fois, qu’ils ont bien dézingué le “bouzin”

    &nbsp; &nbsp; (comme ils se sont rendus compte qu’ils sont allés, un peu, TROP loin)





    • maintenant, (ils essayent de redorer le blason du Cloud)

      &nbsp;&nbsp; en nous disant : “n’ayez crainte, même le Pentagone y dépose “ses secrets” :



    • ne-nous prendraient-ils pas pour des c… ?&nbsp; <img data-src=" />

      un peu, quand même !&nbsp; <img data-src=" />





      Madame “Cloud” connaît vos secrets&nbsp;<img data-src=" /> <img data-src=" />



Le Pentagone envisage de placer des données sensibles dans le cloud

  • La sécurité dans un contexte particulièrement riche

  • Le Pentagone souhaite placer des données sensibles dans un cloud particulier 

  • Deux solutions envisagées...

  • ... mais toutes deux sous étroite surveillance

  • Une prise de conscience généralisée 

Fermer