Wikistrike

Wikistrike

Rien ni personne n'est supérieur à la vérité

Savez-vous seulement dans quel pays sont hébergées vos données personnelles en ligne ?

Publié par wikistrike.com sur 15 Août 2016, 07:53am

Catégories : #Science - technologie - web - recherche

Savez-vous seulement dans quel pays sont hébergées vos données personnelles en ligne ?

Savez-vous seulement dans quel pays sont hébergées vos données personnelles en ligne (et ce que cela signifie en termes de sécurité)?

L’image du « cloud », ou nuage, utilisée pour évoquer le stockage de nos données correspond à des espaces bien réels situés aux quatre coins du monde. Plus de la moitié de ce stockage est contrôlé par Amazon, Microsoft, IBM et Google sans qu’aucune entreprise ne puisse véritablement garantir le respect et la sécurité de ces données, notamment lors de leur transfert d’un centre de stockage à un autre.

Atlantico : A longueur de journée et sans cesse au quotidien, nous partageons et stockons des données personnelles. La plupart de ces données se retrouvent sur ce qui est appelé le « cloud ». A quoi cela correspond-il ? Où se trouvent physiquement et géographiquement  les données que nous partageons et stockons sur le Web ?

Franck Decloquement : Cette expression imagée de « cloud » – autrement dit « nuage de données » – ne doit en effet pas pour autant nous faire oublier que celles-ci ne se promènent pas à « l’air libre », sous une forme « éthérée », impalpable, sans véritables infrastructures techniques en « dur » pour les stocker… Les dépôts ou les collectes de données personnelles, qui nous concernent tous au premier chef, sont en effet stockés quelque part, dans ce « nuage ». Mais plus de la moitié du stockage « en nuage » de nos données dans le monde est contrôlée par quatre grandes entreprises américaines emblématiques. Celles-ci sont communément nommées par les observateurs, les« Big Four ». Amazon est de très loin la plus grande entreprise, avec environ un tiers de la part de marché et plus de trente-cinq centres de données répartis à travers le monde. Les trois autres plus grands fournisseurs en matière de stockage de données sont Microsoft, IBM et Google. Chacun d’eux adopte un modèle global très similaire de « batteries de serveurs ». Autrement dit, un véritable « maillage d’infrastructures » techniques parfaitement implantées et localisables.

Par ailleurs, plusieurs de ces grands fournisseurs de « cloud » public dupliquent naturellement les données de leurs utilisateurs sur leurs réseaux. Et ceci, pour des questions évidentes de sauvegarde en cas de sinistre, d’intrusion, de suppression intempestive ou de piratage des données informatiques. Cela signifie aussi que les informations mises en ligne sur le « nuage »   et donc, les infrastructures techniques, par exemple en France, en Allemagne ou au Royaume-Uni – sont susceptibles d’être transférées à tout moment, à d’autres serveurs localisés dans les grandes métropoles à travers le monde : de Paris à Shanghaï, en passant par New York, Singapour et Sydney…

Qu’est-ce que cette difficulté à localiser des données pour un particulier souligne comme problèmes, voire comme dangers ? 

Plus nos données personnelles transitent par un maillage complexe et sont dispersées à travers le monde, plus elles sont vulnérables aux piratages en tous genres. Ce que semble d’ailleurs attester l’augmentation conséquente des fraudes à l’identité. Si nos données personnelles en transit se retrouvent dans un autre pays à un moment ou un autre de leurs cheminements à travers le maillage des infrastructures techniques du « cloud », il peut être très difficile, en effet, voire totalement impossible pour un particulier, de savoir qui peut y avoir concrètement accès, que ce soit les fournisseurs de réseaux partenaires, ou encore les services spécialisés des Etats locaux qui hébergent les serveurs.

De plus, les usages et coutumes, ou encore l’application des lois en matière de sécurisation et d’utilisation des données personnelles, diffèrent grandement d’un pays à un autre…Il n’y a pour l’heure aucune harmonie juridique globale en la matière, dans ce véritable maelstrom de complexité juridique territoriale et de protocoles nationaux de sécurité. Les dernières décisions du conseil de l’Europe en la matière le démontrent.

Dans quelle mesure est-ce que la transmission des données dans différents data centers est-elle risquée ? Quelles sont les failles de sécurité dans cette transmission les plus fréquentes ? Comment s’en prémunir ? 

Même si de leur côté, les grands fournisseurs de « cloud » public répètent à l’envie que la sécurité est leur priorité, la sécurisation effective de cette grande « distribution » générale des données –  et ceci, à l’échelle planétaire – pose évidemment problème.

Cette question n’est que très peu débattue publiquement, compte tenu du déficit évident de confiance que cela pourrait immanquablement générer chez les utilisateurs professionnels ou privés que nous sommes. Les remous consécutifs aux révélations d’Edouard Snowden sur l’étendue des actions de surveillance de la NSA n’ont rassuré personne. Elles ont même été assez funestes pour le développement commercial de nombreux acteurs du « cloud ». Il est parfaitement notable pour les spécialistes qu’il apparaît très difficile de toujours comprendre où nos données sont réellement stockées. Dans leur grande majorité, les entreprises privées elles-mêmes ne peuvent identifier à coup sûr – et ne sont finalement pas certaines – où toutes leurs données spécifiques pourraient transiter à un moment donné. Personne ne sait vraiment comment sécuriser les services de « cloud computing « . Il est assez aisé de soupçonner qu’à un moment donné, certains compromis de sécurité ont lieu, compte tenu de la complexité du maillage et de l’enchevêtrement de ces infrastructures en millefeuille. Idem pour les responsabilités en cascade que cela supposerait, en cas de compromission des données commerciales stockées. Données qui pourraient être, dans certains cas, hautement confidentielles ou stratégiques. La question reste ouverte.

En matière de conseils pratiques et de bon sens, il serait judicieux de ne pas partager de données sensibles sur le « cloud », telles que les informations relatives aux numéros de cartes bancaires, copies de documents officiels ou des images très personnelles que vous ne voulez pas les autres puissent voir un jour. Mais la plupart des gens ne suivent toujours pas ces recommandations simples, pour le plus grand bonheur des pirates.

Ces données connaissent-elles le même traitement d’un pays à l’autre ? Faut-il craindre des « fuites » entre les data centers et les autorités gouvernementales ? 

À l’instar des installations des data centers de Google en Caroline du Sud ou en Finlande –  où une flopée de gardes privés patrouillent en permanence sur les pourtours des sites  et où les dernières technologies biométriques et laser sont utilisées à la sécurisation de ce véritable sanctuaire – personne n’est pourtant en mesure de garantir qu’il n’y aura « jamais » de brèches de sécurité. Amazon soulignait récemment que ses clients conservaient la propriété pleine et entière et le contrôle de leurs contenus, et pouvaient en outre choisir l’emplacement de leur choix pour stocker leurs données spécifiques, ces données ne se déplaçant pas à moins que le client ne décide spécifiquement du contraire. Cette possibilité de « choisir » dans quelle région du monde les données sont stockées se révèle de plus en plus populaire auprès des entreprises clientes. Et en particulier dans l’Union européenne, où de nouvelles directives de protection rigoureuse des données devraient entrer en vigueur à partir de 2018.

En ce qui concerne l’intrusion par les moyens régaliens dédiés des services d’Etat, nul ne peut également jurer que ces actions intrusives de surveillance gourvernementale – ayant trait à des problématiques de sécurité nationale ou de concurrence économique – ne seront plus jamais menées. La coopération supposée, ou les liens de subordination possibles concernant certaines entreprises de taille mondiale avec les agences gouvernementales d’Etats semble manifeste pour beaucoup d’observateurs informés. On imagine mal ces mêmes organisations régaliennes se priver soudainement de ces ressources inestimables en matière de renseignement, au prétexte de lutte en faveur de la protection des données privées des internautes…

Franck Decloquement
 
Franck DeCloquement est expert en intelligence économique pour le groupe Ker-Meur et ancien de l’Ecole de Guerre Economique de Paris (EGE). Professeur à l’IRIS (Institut de Relations Internationales et Stratégiques) pour le Master 2 IRIS Sup’ en « Géo-économie et intelligence stratégique », diplôme délivré conjointement par l’IRIS Sup’ et l’ESC Grenoble, Franck DeCloquement est aussi conférencier sur les menaces émergentes liées aux actions d’espionnage, et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu récemment pour la SCIA (Swiss Competitive Intelligence Association) à Genève, et les assises 2015 de la FNCD (Fédération Nationale des Cadres Dirigeants) au Sénat.
 
Source: Atlantico.fr

Arrêt sur Info se dégage de toute responsabilité concernant des erreurs ou informations incorrectes ou inexactes. 

Commenter cet article

Archives

Articles récents