Loi sur le renseignement : quels changements pour les acteurs du Cloud Computing ?

Avec les menaces qui pèsent sur nos démocraties, la France comme de nombreux autres pays, légifère sur ce que beaucoup d’entre nous voient, comme une dérive sécuritaire. Je ne suis pas un politicien, je vais donc donner mon avis d’un point de vue technique et citoyen.

Lorsqu’Outscale déploie ses Clouds Publics à l’étranger, nous partons du postulat que les états où nous nous implantons sont ou seront capables de lire les données non chiffrées qui y transitent ou qui y sont stockées. Ma vision, sans pousser trop loin l’anticipation, est que la plupart des systèmes de cryptographie modernes seront obsolète d'ici 20 ans avec l'avènement des ordinateurs quantiques et le développement de l'optronique. Ainsi le sujet de l’écoute par les gouvernements est au cœur de nos considérations sur la sécurité et la protection des données personnelles de nos clients.

Patriot Act: peut-on se battre contre le système ?
Afin de se développer à l’international, une société comme Outscale, avec des points de présence dans des datacenters au quatre coins du monde, doit créer des sociétés-sœurs. Elles forment des filiales propres à chaque pays et se soumettent à la règlementation locale. C’est l’unique moyen d’assurer une étanchéité des données clientes vis-à-vis des autres gouvernements. Les états, qu’ils soient démocratiques ou non, imposent leur volonté et agissent à leur guise  sur leur territoire, y compris les Etats-Unis qui étaient pourtant, à mes yeux, l'état le plus avancé en terme de libertés individuelles. Ces libertés sont mortes depuis le 11 septembre 2001 et elles n'ont, selon moi, jamais réellement été garanties ailleurs.

Dans chacune des sociétés-sœurs Outscale, totalement indépendantes les unes des autres, la gestion est assurée techniquement par des administrateurs locaux. Les administrateurs de la société américaine sont des étrangers aux yeux de la société française et n’ont pas de compte à rendre à la France. De même en Chine et dans tout autre pays.

Les procédures en place au sein de l’organisation permettent de gérer cet état de fait. Par exemple, si le technicien d’une infrastructure Cloud basée à l’étranger doit absolument se connecter sur un réseau en France,  il est alors considéré comme un intervenant extérieur et traiter comme tel. Il doit passer par un processus d'autorisation et se connecter via un système qui enregistre en texte et en vidéo chacune de ses actions. Dans l’éventualité où il s’agirait d’un « espion » d’un gouvernement, sa session est surveillée en temps réel. Autrement dit, il doit être accompagné tout du long de son intervention par son homologue local. L'opération terminée, ses accès sont révoqués.

Cette étanchéité n’existe qu’entre pays. Si le gouvernement d’un pays demande à une société sur son sol fournir des données qu'elle gère, la société obtempérera. Si le gouvernement impose au titre d’un cadre légal comme celui voté en France,  d’intégrer une boîte noire à son infrastructure, la société pourra se battre avec les moyens légaux dont elle dispose, même si ces derniers sont ubuesques, mais au final obtempérera si elle n’a pas gain de cause.

Monitoring des données : une pratique déjà largement répandue

En France, la nouvelle loi sur le renseignement ne fera que légaliser des pratiques déjà en place et utilisées par les services de sécurité. C'est une loi liberticide, mais il semble que la majorité préfère sa sécurité à son intimité.

Mon avis en tant que citoyen, c'est que les terroristes essaient de détruire nos valeurs. En répondant à leurs menaces par une politique plus sécuritaire, nous détruisons la première valeur de notre nation : la Liberté. La Fraternité est elle aussi mise à mal quotidiennement. Elle s'effrite par la stigmatisation d'une frange de la population qui paye pour les actions d'un petit groupe de fanatiques qui n'ont rien en commun avec elle. Ce type de mesure permet à nos ennemis d'atteindre leurs objectifs. En cédant à la peur, nous leur donnons la victoire.

En tant que citoyen, je suis contre les dispositifs d'écoute systématique et d'analyse automatique heuristique et comportementale. L'utilisation du deep learning par un état sécuritaire m'effraie. Demain, les boîtes noires seront les « precogs » d'un système policier contre lequel il faudra se lever et combattre.

Du point de vue adverse, cet outil va peut-être permettre de détecter les acteurs d’attentats futurs. Le prix sera de nos libertés individuelles, mais que faire d’autre avec un système législatif incapable de les empêcher de nuire ?

Malgré des milliers de noms de djihadistes de retour de Syrie déjà inscrits dans nos bases, nos services de sécurité n’ont pas les moyens de tous les surveiller et de les empêcher d’agir. Allonger cette liste sans ajouter de moyens ne va-t-il pas finalement créer plus de bruit qu’autre chose ? Dois-je accepter que ma vie privée ne soit bafouée pour si peu de résultat? Notre Premier ministre qui voit l’extrême droite comme un danger imminent, doit-il vraiment lui donner un tel outil si elle en venait à prendre le pouvoir ?

Si j’étais vraiment paranoïaque, ne pourrais je penser que cette loi n’est qu’une excuse du gouvernement pour mieux surveiller sa population au bord de la révolution, écrasée par les impôts confiscatoires imposées par une classe dirigeante attachée à son confort personnel ?

En tant que chef d'entreprise, j'ai une responsabilité vis-à-vis de mes employés, clients et fournisseurs. Il est de mon devoir de respecter les lois. Si j'estime que les demandes ne sont pas justifiées, j’utiliserais tous les recours légaux même si, dans l’état actuel de la loi, ils me paraissent très insuffisants. Au final, si l'état Français nous demande sous la contrainte de la loi de mettre une boîte noire, nous nous y plierons. Mais nous lutterons.

Nous, les chefs d’entreprise, nous ne quitterons pas le pays malgré les dérives sécuritaires. Il est hors de question que nous abandonnions tous ceux qui nous font confiance. Au contraire nous resterons, ferons entendre notre voix et utiliserons tous les moyens démocratiques pour rétablir les grandes valeurs nationales qui ont su inspirer tant d'autres peuples dans le monde.

En conclusion, les professionnels de dimension International du Cloud Computing sont déjà organisés pour exercer dans des conditions difficiles, où la réglementation et l’autorité locale voient d’un mauvais œil cet outil formidable d’expression de nos libertés qu’est Internet. Nous savons déjà faire face aux contraintes et ce type de loi ne change rien pour nous, même si elle désole le citoyen et me semble inutile pour atteindre l’objectif annoncé. Il est cependant malheureux que nous soyons obligés d’appliquer des mesures de protection, prévues pour des « démocraties populaires », chez nous, en France, le pays des libertés et des droits de l’Homme. Espèrerons que les historiens du futur ne considère pas 2015 comme le véritable 1984 Orwellien…

Etats-Unis / Chiffrement