Fermeture du site Megaupload : quels enseignements pour le cloud computing ?

L'affaire Megaupload démontre que le risque de blocage de services de Cloud Computing à raison d’une activité illicite commise soit par le prestataire lui-même, soit par ses utilisateurs, n’a plus rien d’une fiction. Comment se protéger si votre hébergeur ferme du jour au lendemain ?

Dans le cadre de l’une des plus grandes actions anti-contrefaçon menée aux Etats-Unis, le département de la justice américain a été autorisé à poursuivre le site Megaupload et ses dirigeants, pour avoir permis et organisé la contrefaçon de contenus protégés (principalement des films). C’est ainsi que le 19 janvier 2012, plus de 20 mandats de perquisition ont été délivrés aux États-Unis et dans huit autres pays, afin de procéder à des saisies d’actifs (dont des serveurs) et au blocage de 18 noms de domaines. Cette action coup de poing a eu pour effet immédiat de stopper net l’activité de Megaupload et des sites affiliés et pour conséquence d’empêcher dorénavant tout accès aux données stockées sur les serveurs de Megaupload par leurs utilisateurs.
Or, certains utilisateurs avaient recours à ce service pour une finalité parfaitement légitime et légale et y conservaient des données parfaitement « licites », qu’elles soient personnelles ou professionnelles. Ces utilisateurs ont aujourd’hui perdu l’ensemble des données qu’ils stockaient sur Megaupload, et ce de façon vraisemblablement irrémédiable.
Même si Megaupload ne s’est jamais présenté comme offrant un service de Cloud Computing, le service qu’il proposait correspond précisément à la définition et à la promesse même du Cloud Computing : offrir à bas coût des capacités virtuellement illimitées de stockage, mobilisables à la demande de l’utilisateur. Aussi, en dehors des problématiques de droits d’auteur et de lutte anti-contrefaçon largement commentées par ailleurs, cette affaire soulève de grandes interrogations quant aux conséquences d’un tel évènement dans l’univers du Cloud Computing.

La saisie de serveurs et le blocage de DNS est une éventualité bien réelle sur le Cloud !
Les Etats-Unis possèdent un arsenal législatif conférant à l’état des pouvoirs conséquents en matière d’investigations. Ainsi, en vertu du Patriot Act, le FBI peut réaliser des perquisitions et effectuer des saisies de serveurs ou de bases de données, lorsque ces éléments sont en lien avec des activités d’espionnage ou de terrorisme (sections 215 et 806).
Ce type de saisie est déjà intervenu l’été dernier (affaire « Lulz Security » dans laquelle le FBI a saisi sans préavis 62 serveurs dans un datacenter, occasionnant de manière collatérale des troubles graves pour les utilisateurs de ceux-ci, et notamment l’arrêt des sites édités par Curbed Network). Des perquisitions et saisies peuvent également être réalisées pour des actes de contrefaçon commis dans le cadre d’une organisation criminelle, comme dans l’affaire Megaupload. On en conclut que parce qu’il ne contrôle pas nécessairement tout ce qui est stocké sur ses serveurs, tout prestataire de services de Cloud exploitant des fermes de serveurs aux Etats-Unis, est susceptible d’être un jour concerné par de telles mesures. Et tous ses clients, où qu’ils se trouvent, d’en faire les frais…
Les saisies d’équipements informatiques et les blocages de noms de domaine ne sont cependant pas l’apanage des seules autorités américaines. Ces mesures peuvent notamment être mises en œuvre en coopération avec d’autres Etats via des accords de coopération comme la Convention des Nations Unies contre la criminalité organisée du 15 novembre 2000, la Convention sur la cybercriminalité du 23 novembre 2001 ou encore le très controversé Accord Commercial Anti Contrefaçon (ACTA).
La France n’est pas en reste, où la police judiciaire et le juge d’instruction peuvent procéder à des saisies d’objets, de documents ou de données informatiques utiles à la manifestation de la vérité (articles 54, 56, 76 et 97 du Code de procédure pénale). La saisie de matériels et le blocage de DNS peuvent en outre être réalisés dans le cadre d’une saisie-contrefaçon ou d’une saisie dite « Hadopi » (L. 332-1 et s. et 336-2 du Code de la propriété intellectuelle). On pourrait multiplier les exemples à l’envie.
On peut donc affirmer sans risquer la contradiction qu’aucun prestataire de Cloud, et par conséquent aucun client d’un service de ce type, n’est aujourd’hui à l’abri d’une mesure de saisie similaire à celle qui a touché Megaupload.

La conséquence : l’indisponibilité temporaire ou définitive des données
Comme le démontre l’affaire Mégaupload, en cas d’arrêt brutal de l’activité du prestataire, l’utilisateur perd immédiatement toute possibilité d’accéder à ses données. Le temps de la justice n’étant pas celui des affaires, à supposer même que l’utilisateur puisse récupérer ses données un jour, il est vraisemblable, soit qu’elles auront alors perdu toute valeur ou toute utilité, soit, s’il s’agit d’une entreprise, que l’entreprise elle-même aura alors cessé d’exister.
Dans la pire des hypothèses, l’entreprise qui perd soudainement la capacité d’accéder à ses moyens de traitement ou à ses données, sans disposer de moyens alternatifs ou de sauvegarde, est en effet irrémédiablement condamnée : chute immédiate de chiffre d’affaires, perte de crédibilité à l’égard de ses clients, pertes des données bancaires, inexistence totale sur internet… quelle entreprise marchande sur internet pourrait s’en relever ?
La situation n’est guère plus enviable pour le prestataire : qui lui fera confiance à l’avenir s’il présente une telle vulnérabilité ? Quel futur pour son modèle de Cloud Computing si le maillon le plus faible d’entre tous ses clients est susceptible de mettre l’ensemble à terre ?

Quelles solutions envisager ?
Inutile de se voiler la face : face à l’arrêt pur et simple d’un service de Cloud Computing en suite d'un évènement du type Megaupload, la voie judiciaire ne permettra probablement ni de sauver l’entreprise qui a perdu ses données, ni d’empêcher l’hémorragie des clients fuyant le prestataire affecté ! Outre les délais inhérents à toute action judiciaire, la complexité additionnelle et les coûts d’une action à engager souvent à l’étranger, dans un système judiciaire différent, risquent fort de rendre illusoire tout espoir de récupérer rapidement les données ou le service.
Il convient donc de se prémunir, en amont, contre le risque d’un arrêt brutal des services, et c’est là l’intérêt bien compris non seulement du client utilisateur, mais encore du prestataire de services de Cloud. Certes, mais comment ?

D’abord, en définissant en amont les mesures techniques et juridiques adéquates pour sécuriser l’ensemble. Cet effort d’anticipation n’est pas à sens unique. Si le bénéfice que pourra y trouver l’utilisateur apparaît évident, le prestataire en tirera également d’importants avantages, en premier lieu sur le plan commercial, en mettant en avant la disponibilité et la fiabilité de son service, même dans les hypothèses les plus graves.
Les mesures techniques de sécurité envisageables pour limiter les effets d’une saisie des serveurs physiques sont nombreuses et reposeront notamment sur la mise en œuvre d’une forte redondance. On pourrait ainsi imaginer une réplication permanente des serveurs virtuels dans des sites miroirs établis dans plusieurs pays, le cas échéant chez un prestataire tiers, afin que les données soient disponibles à plusieurs endroits à la fois. Ainsi, en cas d’une saisie dans un pays, l’utilisateur pourrait récupérer ses données sur un serveur situé dans un autre pays. D’autres pistes techniques existent, mais toutes ont bien évidemment un coût, qui devrait donc à terme renchérir le prix du service de Cloud.
Sur le plan juridique, ces mesures devront s’accompagner de garanties spécifiques, qui auront leur place dans le contrat liant le prestataire et ses utilisateurs. Le prestataire devra ainsi envisager de garantir que les services qu’il propose ne sont pas utilisés à des fins prohibées et qu’il n’héberge pas de données illégales (on imagine sans peine la difficulté qu’il aura à le faire). En contrepartie, le client utilisateur devra, pour sa part, garantir ne pas détenir, stocker, ni utiliser, de données illégales. Toutefois, ces engagements reposant pour l’essentiel sur des promesses, ils n’engageront que ceux…qui les croient !

Il faudra donc vraisemblablement aussi ajouter à l’édifice une couche supplémentaire, soit en faisant en sorte que les services de Cloud soient « par nature » insusceptibles de faire l’objet de telles mesures coercitives - mais comment ? – soit, plus vraisemblablement, en prévoyant que des tiers, au-dessus de tout soupçon, viennent attester par un label de confiance ou une procédure de certification que le service proposé est « sûr » pour l’utilisateur.
Des solutions doivent donc être trouvées pour que les entreprises puissent bénéficier sereinement des technologies innovantes comme le Cloud Computing, nécessaires à leur développement, sans pour autant risquer de tout perdre pour des faits auxquels elles seraient totalement étrangères.