Fermeture du site Megaupload : quels enseignements pour le cloud computing ?
L'affaire Megaupload démontre que le risque de blocage de services de Cloud Computing à raison d’une activité illicite commise soit par le prestataire lui-même, soit par ses utilisateurs, n’a plus rien d’une fiction. Comment se protéger si votre hébergeur ferme du jour au lendemain ?
Dans le cadre de l’une des plus grandes actions anti-contrefaçon menée aux Etats-Unis, le département de la justice américain a été autorisé à poursuivre le site Megaupload et ses dirigeants, pour avoir permis et organisé la contrefaçon de contenus protégés (principalement des films). C’est ainsi que le 19 janvier 2012, plus de 20 mandats de perquisition ont été délivrés aux États-Unis et dans huit autres pays, afin de procéder à des saisies d’actifs (dont des serveurs) et au blocage de 18 noms de domaines. Cette action coup de poing a eu pour effet immédiat de stopper net l’activité de Megaupload et des sites affiliés et pour conséquence d’empêcher dorénavant tout accès aux données stockées sur les serveurs de Megaupload par leurs utilisateurs.
Or, certains utilisateurs avaient recours à ce service pour une
finalité parfaitement légitime et légale et y conservaient des données parfaitement
« licites », qu’elles soient personnelles ou professionnelles. Ces
utilisateurs ont aujourd’hui perdu l’ensemble des données qu’ils stockaient sur
Megaupload, et ce de façon vraisemblablement irrémédiable.
Même si Megaupload ne s’est jamais présenté comme offrant un
service de Cloud Computing, le
service qu’il proposait correspond précisément à la définition et à la promesse
même du Cloud Computing : offrir
à bas coût des capacités virtuellement illimitées de stockage, mobilisables à
la demande de l’utilisateur. Aussi, en dehors des problématiques de droits
d’auteur et de lutte anti-contrefaçon largement commentées par ailleurs, cette
affaire soulève de grandes interrogations quant aux conséquences d’un tel
évènement dans l’univers du Cloud
Computing.
La saisie de serveurs et
le blocage de DNS est une éventualité bien réelle sur le Cloud !
Les Etats-Unis possèdent un arsenal législatif conférant à
l’état des pouvoirs conséquents en matière d’investigations. Ainsi, en vertu du
Patriot Act, le FBI peut réaliser des
perquisitions et effectuer des saisies de serveurs ou de bases de données, lorsque
ces éléments sont en lien avec des activités d’espionnage ou de terrorisme
(sections 215 et 806).
Ce type de saisie est déjà intervenu l’été dernier
(affaire « Lulz Security » dans laquelle le FBI a saisi sans préavis
62 serveurs dans un datacenter,
occasionnant de manière collatérale des troubles graves pour les utilisateurs
de ceux-ci, et notamment l’arrêt des sites édités par Curbed Network). Des
perquisitions et saisies peuvent également être réalisées pour des actes de
contrefaçon commis dans le cadre d’une organisation criminelle, comme dans l’affaire
Megaupload. On en conclut que parce qu’il ne contrôle pas nécessairement tout
ce qui est stocké sur ses serveurs, tout prestataire de services de Cloud exploitant des fermes de serveurs
aux Etats-Unis, est susceptible d’être un jour concerné par de telles mesures.
Et tous ses clients, où qu’ils se trouvent, d’en faire les frais…
Les saisies d’équipements informatiques et les blocages de noms
de domaine ne sont cependant pas l’apanage des seules autorités américaines.
Ces mesures peuvent notamment être mises en œuvre en coopération avec d’autres
Etats via des accords de coopération comme la Convention des Nations Unies
contre la criminalité organisée du 15 novembre 2000, la Convention sur la
cybercriminalité du 23 novembre 2001 ou encore le très controversé Accord
Commercial Anti Contrefaçon (ACTA).
La France n’est pas en reste, où la police judiciaire et le
juge d’instruction peuvent procéder à des saisies d’objets, de documents ou de
données informatiques utiles à la manifestation de la vérité (articles 54, 56,
76 et 97 du Code de procédure pénale). La saisie de matériels et le blocage de
DNS peuvent en outre être réalisés dans le cadre d’une saisie-contrefaçon ou
d’une saisie dite « Hadopi » (L. 332-1 et s. et 336-2 du Code de la
propriété intellectuelle). On pourrait multiplier les exemples à l’envie.
On peut donc affirmer sans risquer la contradiction qu’aucun
prestataire de Cloud, et par
conséquent aucun client d’un service de ce type, n’est aujourd’hui à l’abri d’une
mesure de saisie similaire à celle qui a touché Megaupload.
La conséquence : l’indisponibilité
temporaire ou définitive des données
Comme le démontre l’affaire Mégaupload, en cas d’arrêt
brutal de l’activité du prestataire, l’utilisateur perd immédiatement toute possibilité
d’accéder à ses données. Le temps de la justice n’étant pas celui des affaires,
à supposer même que l’utilisateur puisse récupérer ses données un jour, il est
vraisemblable, soit qu’elles auront alors perdu toute valeur ou toute utilité,
soit, s’il s’agit d’une entreprise, que l’entreprise elle-même aura alors cessé
d’exister.
Dans la pire des hypothèses, l’entreprise qui perd
soudainement la capacité d’accéder à ses moyens de traitement ou à ses données,
sans disposer de moyens alternatifs ou de sauvegarde, est en effet
irrémédiablement condamnée : chute immédiate de chiffre d’affaires, perte
de crédibilité à l’égard de ses clients, pertes des données bancaires, inexistence
totale sur internet… quelle entreprise marchande sur internet pourrait s’en
relever ?
La situation n’est guère plus enviable pour le
prestataire : qui lui fera confiance à l’avenir s’il présente une telle
vulnérabilité ? Quel futur pour son modèle de Cloud Computing si le maillon le plus faible d’entre tous ses
clients est susceptible de mettre l’ensemble à terre ?
Quelles solutions envisager ?
Inutile de se voiler la face : face à l’arrêt pur et
simple d’un service de Cloud Computing
en suite d'un évènement du type Megaupload, la voie judiciaire ne permettra probablement
ni de sauver l’entreprise qui a perdu ses données, ni d’empêcher l’hémorragie des
clients fuyant le prestataire affecté ! Outre les délais inhérents à toute
action judiciaire, la complexité additionnelle et les coûts d’une action à
engager souvent à l’étranger, dans un système judiciaire différent, risquent
fort de rendre illusoire tout espoir de récupérer rapidement les données ou le
service.
Il convient donc de se prémunir, en amont, contre le risque
d’un arrêt brutal des services, et c’est là l’intérêt bien compris non
seulement du client utilisateur, mais encore du prestataire de services de Cloud. Certes, mais comment ?
D’abord, en définissant en amont les mesures techniques et juridiques
adéquates pour sécuriser l’ensemble. Cet effort d’anticipation n’est pas à sens
unique. Si le bénéfice que pourra y trouver l’utilisateur apparaît évident, le
prestataire en tirera également d’importants avantages, en premier lieu sur le
plan commercial, en mettant en avant la disponibilité et la fiabilité de son
service, même dans les hypothèses les plus graves.
Les mesures techniques de sécurité envisageables pour
limiter les effets d’une saisie des serveurs physiques sont nombreuses et
reposeront notamment sur la mise en œuvre d’une forte redondance. On pourrait ainsi
imaginer une réplication permanente des serveurs virtuels dans des sites miroirs
établis dans plusieurs pays, le cas échéant chez un prestataire tiers, afin que
les données soient disponibles à plusieurs endroits à la fois. Ainsi, en cas d’une
saisie dans un pays, l’utilisateur pourrait récupérer ses données sur un
serveur situé dans un autre pays. D’autres pistes techniques existent, mais
toutes ont bien évidemment un coût, qui devrait donc à terme renchérir le prix
du service de Cloud.
Sur le plan juridique, ces mesures devront s’accompagner de
garanties spécifiques, qui auront leur place dans le contrat liant le
prestataire et ses utilisateurs. Le prestataire devra ainsi envisager de garantir
que les services qu’il propose ne sont pas utilisés à des fins prohibées et
qu’il n’héberge pas de données illégales (on imagine sans peine la difficulté
qu’il aura à le faire). En contrepartie, le client utilisateur devra, pour sa
part, garantir ne pas détenir, stocker, ni utiliser, de données illégales.
Toutefois, ces engagements reposant pour l’essentiel sur des promesses, ils n’engageront
que ceux…qui les croient !
Il faudra donc vraisemblablement aussi ajouter à l’édifice
une couche supplémentaire, soit en faisant en sorte que les services de Cloud soient « par nature »
insusceptibles de faire l’objet de telles mesures coercitives - mais
comment ? – soit, plus vraisemblablement, en prévoyant que des tiers,
au-dessus de tout soupçon, viennent attester par un label de confiance ou une
procédure de certification que le service proposé est « sûr » pour
l’utilisateur.
Des solutions doivent donc être trouvées pour que les
entreprises puissent bénéficier sereinement des technologies innovantes comme
le Cloud Computing, nécessaires à
leur développement, sans pour autant risquer de tout perdre pour des faits
auxquels elles seraient totalement étrangères.