Le chiffrement des données chez AWS et Google Cloud suffit-il à protéger du Cloud act ?
Face à une demande croissante de souveraineté européenne en matière de cybersécurité, Google et Amazon Web Services (AWS) adaptent leur offre de cloud sur le Vieux continent. L'European sovereign cloud d'AWS, dont le lancement est prévu fin 2025, sera piloté par des filiales de la société basées en Allemagne. Le stockage des données sera géré en Europe par des citoyens et résidents européens. De son côté, Google Cloud a annoncé en mai 2025 de nouvelles options permettant à ses utilisateurs de stocker leurs données uniquement en Europe.
Toutefois, même hébergées en Europe, ces données peuvent être accessibles à l'administration américaine. Le Cloud act et le Foreign intelligence surveillance act (Fisa) permettent en effet à celle-ci d'exploiter des données stockées par les fournisseurs de cloud américains quel que soit leur lieu d'hébergement dans le monde. AWS et Google Cloud proposent donc à leurs utilisateurs européens de chiffrer leurs données pour les protéger de l'administration américaine. Mais il existe de sérieux doutes quant à l'efficacité de ce dispositif.
Des données chiffrées accessibles
Le chiffrement des données proposé par les deux sociétés américaines est "très robuste", indique Matthieu Rivain, président directeur-général de Crypto Experts, une entreprise spécialisée en cryptographie. "La cryptographie à clé secrète qu'AWS et Google proposent repose sur le standard de chiffrement avancé de niveau 256. Cela lui permet de rester robuste pendant quelques décennies", précise-t-il. De plus, la clé de chiffrement des données possédée par l'utilisateur, appelée data encryption key (DEK), est elle-même chiffrée par une clé de chiffrement des clés appelée key encryption key (KEK). La KEK est gérée par des prestataires tiers, indépendants de Google et AWS.
Toutefois, AWS et Google peuvent quand même accéder à la donnée chiffrée selon Matthieu Rivain : "Il est vrai que Google et AWS ne peuvent pas connaître la KEK et accéder à la donnée chiffrée si on leur fait confiance. Mais quand l'utilisateur active la donnée chiffrée en y accédant ou en la téléchargeant, la DEK est déchiffrée par le prestataire tiers au moyen de la KEK. A ce moment-là, AWS et Google ont connaissance à la fois de la DEK et de la donnée. Donc ils peuvent avoir accès à la donnée. Il faut donc leur faire confiance pour ne pas conserver en clair la DEK et la donnée déchiffrée". Et pour cause, si l'utilisateur décide de chiffrer à nouveau la donnée, AWS et Google en conserveront toujours une copie.
Une confiance limitée
Matthieu Rivain poursuit : "Brandir comme seule garantie que la KEK est gérée par un prestataire tiers est techniquement limité de la part d'AWS et de Google Cloud. La confiance envers leurs services ne peut que reposer sur une hypothèse. Même s'ils se comportent de façon honnête dans 99% des cas, l'administration américaine peut leur demander d'accéder à des données d'entités ciblées. Et dans ce cas, ils peuvent lui fournir de la donnée chiffrée que ces entités ont activé à un moment donné." En outre, "les autorités européennes ne peuvent pas auditer le protocole de chiffrement d'AWS et de Google Cloud. Il n'existe donc aucune garantie de vérifier que ce qu'ils affirment en la matière est vrai", indique Marc-Antoine Ledieu, avocat spécialisé en droit de la cybersécurité.
Alexandra Iteanu, autre avocate spécialisée en droit de la cybersécurité, partage cet avis. Elle rappelle aussi que tous les contrats conclus entre des citoyens européens et ces hyperscalers américains doivent respecter le Cloud act : "Les lois comme le Cloud act ou le Fisa sont des lois d'ordre public et sont donc supérieures à tous les contrats qui peuvent être pris par AWS ou Google Cloud. En principe, tout contrat conclu entre eux et un citoyen européen doit être conforme à ces réglementations. Donc soit AWS et Google violent le Cloud act en refusant de déchiffrer la donnée réclamée par l'administration américaine, soit ils violent leur contrat conclu avec l'utilisateur européen en déchiffrant sa donnée pour la transmettre à l'administration. Or je pense qu'ils ont plus peur de l'administration américaine que du citoyen européen."
De son côté, Paul-Olivier Gibert, ancien président de l'Association française des correspondants à la protection des données à caractère personnel, ne cache pas son inquiétude pour les entreprises européennes qui utilisent le chiffrement proposé par ces hyperscalers : "Les mesures techniques proposées par Google Cloud et AWS ne sont pas des garanties absolues. Des pressions peuvent être exercées sur les entreprises européennes qui ont des intérêts aux Etats-Unis et qui utilisent leurs services. Ces pressions peuvent les contraindre à fournir leurs clés de chiffrement à l'administration américaine, pour que celle-ci puisse accéder à leurs données".
Une diminution de la qualité des services
Enfin, les conséquences du chiffrement des données proposé par Google et AWS peuvent dissuader les utilisateurs d'y souscrire. Et pour cause, celui-ci "baisse le niveau des services" proposés par ces fournisseurs observe Alain Bouillé, délégué général du Club des experts de la sécurité de l'information et du numérique : "Si les données sont chiffrées, alors elles ne peuvent pas être indexées. Si elles ne sont pas indexées, elles ne sont pas exploitables dans le cadre des services fournis par AWS et Google comme les messageries et les différents systèmes collaboratifs."
Bertrand Servary, fondateur de NetExplorer, un éditeur de solutions de partage et de stockage de données en cours de qualification SecNumCloud, partage cet avis : "Le chiffrement des données est difficilement applicable pour les organisations, surtout pour celles qui utilisent les services de Google comme Google drive, Google workspace, etc. Celles qui choisissent cette option découvrent vite que les documents chiffrés sont tellement inaccessibles qu'ils sont inutilisables."