Microsoft réfléchit actuellement à faire du chiffrement des données un standard d’entreprise pour l’ensemble de ses communications. Cette information, obtenue par le Washington Post, signe à la manière de Yahoo! une forme de réaction à l’actualité des derniers mois sur les programmes de surveillance de la NSA.
Crédits : Robert Scoble, licence Creative Commons
Microsoft face au chiffrement intégral des données
Récemment, Marissa Meyer, PDG de Yahoo!, annonçait que d’ici la fin du mois de mars 2014, l’entreprise allait finaliser de grands travaux concernant la sécurité de ses services. En effet, le chiffrement des données débarquera en force, touchant à la fois les communications entre les clients et l’infrastructure de la firme, mais également les communications internes entre les serveurs. Yahoo était le dernier grand acteur à ne pas chiffrer les communications entre ses services et les clients, mais côté serveurs, c’est loin d’être le cas.
Chez Microsoft, les connexions entre les clients et les services sont chiffrées dans la majorité des cas. Même s’il ne s’agit pas de mesures anciennes, elles ont le mérite d’avoir été mises en place. Mais le chiffrement intégral, donc à l’échelle de l’entreprise entière, n’est pas encore actif. Par exemple, les échanges entre les serveurs au sein des centres de données ne sont pas concernés pas de telles technologies.
La direction serait en plein remue-méninge
Selon un nouvel article du Washington Post, un véritable branle-bas de combat a lieu en ce moment chez Microsoft. Plusieurs sources proches du dossier, et ayant tenu à rester anonymes, ont informé le Post que la direction de l’entreprise est pleinement consciente des rapports sur les activités de la NSA depuis le mois de juin. Le chiffrement intégral des données est donc débattu activement, mais les actualités parues depuis le mois dernier ont largement accéléré les réunions.
La raison en est qu’un autre article du Washington Post, alimenté par les documents dérobés par Edward Snowden, faisait état le mois dernier d’un nouvel aspect de la surveillance par la NSA. On trouvait ainsi au sein d’un programme nommé Muscular la faculté pour l’agence d’espionner à même les réseaux privés d’entreprises telles que Yahoo, Google ou encore Microsoft, même si les deux premières étaient en première ligne. Cependant, des noms tels que Microsoft Passport et Hotmail étaient présents dans les documents.
Un sérieux effort d'ingénierie
Selon les personnes interrogées par le Post, ces nouvelles informations auraient eu un impact certain sur la direction à Redmond. Il est difficile actuellement de savoir réellement ce qui est une opération de communication et ce qui est réel. Les grandes entreprises impliquées dans Prism telles que Microsoft, Google, Yahoo, Apple ou encore Facebook ont toutes une importante carte à jouer sur le plan de la communication : elles doivent apparaître comme garantes des secrets qui leur sont confiés. Les communiqués ne sont multipliés tandis que Microsoft et Google, pourtant ennemis, n’ont pas hésité à s’associer pour déposer une plainte commune contre le gouvernement. Objectif : faire débloquer l’autorisation d’en dire davantage sur les demandes qui leur sont faites pour révéler les données personnelles des cibles de la NSA et du FBI.
Selon les experts interrogés par le Washington Post, le fait que plusieurs entreprises, y compris Yahoo et Google, travaillent désormais sur un chiffrement intégral de leurs données est nécessairement une bonne chose. Car il n’est pas question ici d’augmenter la seule résilience des systèmes visés contre la NSA et les agences de renseignement en général, mais bien de parer à un plus grand nombre de menaces. La concentration des données à distance, autrement dit le cloud, ne fait que déplacer le problème : c’est moins à l’utilisateur qu’à l’entreprise de veiller à la protection des données, et le chiffrement seul de la connexion avec le client n’est plus suffisant. Pour Matthew Green, de l’université Johns Hopkins, cela reste dans tous les cas « un gros effort d’ingénierie ».
Zone de flou
Le sujet des grandes entreprises est l’un des principaux points flous dans tout ce qui touche aux activités du renseignement. Les informations sont partielles et parfois contraires. Les premiers documents laissaient entendre que les sociétés participaient sur une base volontaire au remplissage de vastes bases de données sur les utilisateurs des services. Les mois passants, ces premiers rapports ont été nuancés par de nouveaux, montrant surtout que les firmes devaient recevoir des requêtes validées par la FISC (Foreign Intelligence Surveillance Court) avant de procéder à l’extraction des données. Depuis, ces mêmes entreprises apparaissent comme très réticentes, ce qui ne laisse globalement que trois possibilités : soit elles ont participé et leur communication tente de dévier le tir, soit ce n’est pas le cas et les inquiétudes sont légitimes, soit elles ont participé en partie mais la NSA ne s’en est pas contentée, cherchant à obtenir par la force d’autres données.
Les sources du Washington Post ont indiqué au journal que la direction de Microsoft n’était pas en possession des preuves montrant que la NSA prélevait directement des données. Cependant, les responsables devraient se rencontrer une nouvelle fois cette semaine et prendre plusieurs décisions concernant l’extension du chiffrement des données. Selon les mêmes sources, le budget même de l’opération n’a pas encore été estimé.
Des « allégations troublantes » pour le responsable juridique de la firme
Interrogé par le Post, Brad Smith, vice-président de Microsoft et responsable juridique de la firme, se montre inquiet : « Ces allégations sont réellement troublantes. Si elles sont vraies, ces actions sont équivalentes au piratage et à la capture de données personnelles, et de notre point de vue, sont une faille dans la protection garantie par le Quatrième Amendement de la Constitution ». Ce dernier permet pour rappel à tout citoyen américain de voir ses informations personnelles être protégées de toute saisie ou perquisition avant qu’un mandat ait été émis par un juge.
Il est intéressant dans tous les cas de voir les réactions actuelles des entreprises. On notera à ce sujet qu’on rejoint ici l’avis du cryptologue Bruce Schneier qui indiquait il y a peu que le paysage de la sécurité allait être bouleversé. Les méthodes de la NSA vont ainsi provoquer une nécessaire adaptation des technologies et des habitudes et le niveau global de sécurité va ainsi grimper. Rendez-vous donc dans quelques mois quand les grandes firmes du cloud auront mis en place leurs solutions de chiffrement. D’ici là, elles ne manqueront pas de communiquer sur les grandes décisions qui seront prises, à l’instar de Yahoo.
Commentaires (76)
“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”
Une annonce comme celle là je ne sais pas si il faut en rire ou en pleurer.
Ouais encore une belle mascarade comme avec Google. Prism nous a prouvé une chose c’est que tout logiciel, matériel issu d’une entreprise US est par définition un malware du fait du patriot act qui oblige ces société à donner l’accès intégral à leur données au gouvernement.
Tout chiffré ne sert absolument à rien quand toutes ces données sont localisé aux Etats-Unis vu que les société doivent donner une porte dérobé à la NSA
C’est exactement l’affaire de la NSAKey ca sert à rien d’utiliser leur service même en chiffrant la chose vu que la NSA a une clé secrète qui si elle le désire permettra de décrypter la chose.
La seule crédibilité qu’aurait ces entreprises ces de délocalisé tous leur datacenter ailleurs qu’aux USA et en fournissant du matériel/logiciel à minimum open source.
<><><><><><><><><><>
Rendez-vous donc dans quelques mois quand les grandes firmes du cloud auront mis en place leurs solutions de chiffrement.
Le chiffrement que feront les grandes firmes (Microsoft, Google etc.) ne sert à rien du tout puisque ce sont eux qui ont les clefs et on sait très bien qu’ils les communiqueront !!!
Arrêtez le foutage de gueule avec le chiffrement serveur !!!
Si le mec qui te poses un porte blindée garde un double des clefs et qu’il les donne aux autorités il se passe quoi ?
Ben avec le pseudo chiffrement de Microsoft et Cie c’est pareil !
Tout ce que ce type d’annonce montre c’est à quel point Google et compagnie se foutent de nous !
La course à l’armement est lancé, si la NSA aura les codes et les clés pour les ricains, ce sera plus dur pour les autres au moins 10 min de délai
" />
" />
C’est une bonne chose que ce chiffrage des données entre les serveurs MS et ceux de la NSA.
" />
Ça évitera aux crypto-communistes russes de pirater des informations
Ah bon? Et le Patriot Act? MS va gentillement dire à la NSA d’aller se “l’introduire dans le rectum “?
Oui c’est la news lsur la Censure XBoxienne qui déteint :p
Enfin en France aussi on est sensé fournir la clé de chiffrement si la justice/police en a besoin donc bon … Ca change pas grand chose vis a vis de la NSA … Par contre c’est intéressant pour MS vis a vis d’un hacker ou d’un pays etranger.
Bon et après, il restera juste qu’à débusquer les agents infiltrés et à les noyer dans le bac cryogénique.
Ahh, Ahh, Ahh
Le problème c’est le Patriot Act, le reste est moins prioritaire.
Que les USA commence par le supprimé.
comme certains l’on très bien dis j’y crois pas trop pour des raisons technique parfaitement bien cité et logique ! de toute façon internet = fin de l’anonyma avec google, fb, windows etc….
" />
Les clients pigeons payent leur entrée par la grande porte et la NSA gratuitement par l’entrée des artistes car c’est eux qui font le scenario du spectacle “Comment enculer les clients sans leur faire le cul rouge a la façon babouin et nous prenne par pour des cons…”
" />
" />
En plus il sont payer…..pour le faire.
[/quote]
Tout ceci était très bien expliqué dans le reportage de l’ASI : “L’espionnage de la NSA, raconté à ceux qui n’ont rien compris”.
Il fut en accès libre durant quelques temps, mais désormais il faut être abonné pour pouvoir y accéder.
Voici le lien :
http://www.arretsurimages.net/emissions/2013-10-30/L-espionnage-de-la-NSA-racont…
Il y a l’air d’avoir consensus entre les INpactiens et tiennes pour penser que tout ça c’est pipeau et que la NSA aura les masterkey grâce au patriot act. Comme en toute dictature, tous les mensonges passent à condition de les répéter suffisamment longtemps.
Qu’ils commencent déjà à passer Bing en https comme Google.
Ca ne s’adresse sans doute pas aux gouvernement US, puisqu’ils travaillent main dans la main, mais plutôt aux concurrents. UK et France aussi regardent ce qui se passe sur les cables mais Microsoft, Yahoo et autres ne collaborent pas avec ces pays.
Le chiffrement coté client, si possible à partir de logiciel open-source, je vois que ça comme réponse
" />
" />
Des solutions comme Wuala ou Bajoo sont un début de réponse, auxquels il manque soit l’open-source, soit l’absence totale de dépendance au patriot act
Le 4ème amendement permet pour rappel à tout citoyen américain de voir ses informations personnelles être protégées de toute saisie ou perquisition avant qu’un mandat ait été émis par un juge.
En clair et non chiffré, quand on n’est pas citoyen US quoique fasse microsoft pour arrêter l’hémorragie en cours de ses clients (il ne faut pas se leurrer, c’est probablement ce qui les pousse à agir!), cela n’aura aucune espèce d’importance!
C’est quand même malheureux que des boîtes qui brassent des quantités de données phénoménales ne se mettent à sécuriser leurs flux que quand elles sont dos au mur…
" />
Qu’on foute dehors ses boites ricaine :http://www.slate.fr/monde/80327/europe-doit-se-desintoxiquer-technologies-americ…
Microsoft, Google, Yahoo, Apple ou encore Facebook ont toutes une importante carte à jouer sur le plan de la communication : elles doivent apparaître comme garantes des secrets
No way.
Pa moyen que j’ai la moindre confiance en des services qui RECLAMENT ma date de naissance, mon nom, et le plus de détails possibles sur ma vie.
S’ils veulent crypter les données c’est juste pour que seul la NSA ait accès aux données.
" />
salut ricard,
c’est un bon point