En donnant ses clés de chiffrement au FBI, Microsoft a-t-il ouvert une backdoor légale ?
Début 2025, Microsoft a fourni au FBI qui le lui avait demandé des clés de chiffrement BitLocker, un logiciel permettant de crypter ses données. Les utilisateurs de trois PC ciblés par les autorités américaines avaient laissé leur clés de chiffrement dans le cloud. Microsoft a-t-il créé un précédent en cassant la confidentialité des données de ses clients ? Elle assume en tout cas sa position : "Si la récupération des clés offre un certain confort, elle comporte également un risque d'accès non souhaité. Microsoft estime donc que les clients sont les mieux placés pour décider... comment gérer leurs clés", explique son porte-parole à Forbes. "C’est le choix du client de stocker la clé dans le cloud. Mais c’est aussi la recommandation de Microsoft", lui répond Olivier Savornin, directeur Europe de Cohesity, spécialiste de la sécurisation des données.
Reste que Microsoft assume de recevoir 20 demandes de ce type par an - et d’y accéder quand la demande est légale. Mais la plupart du temps, l’utilisateur n’a pas stocké la clé de chiffrement dans le nuage, rendant impossible toute fouille.
L’omnipotence du Cloud Act
A l’inverse, d’autres géants de la tech s’opposent aux demandes : "IBM cherche à s’opposer systématiquement ; d’autres, comme Apple, mettent en place des barrières techniques", décrit Gaël Mahé, avocat et chef du pôle Data chez Haas Avocats. En 2016, Apple refuse ainsi de livrer les données du terroriste de San Bernardino, qui a fait 14 morts dans la ville californienne. Le FBI est donc obligé d'embaucher des hackers pour les récupérer. Elle permet toujours, comme Meta via Whatsapp, de stocker des clés de chiffrement dans son cloud… mais encourage les utilisateurs à crypter le fichier.
Légalement, c’est désormais du Cloud Act que peuvent se réclamer les autorités américaines. Texte issu des plaintes du FBI, et des batailles avec les entreprises de la tech (et notamment de Microsoft, accusé de ne pas transmettre des données Outlook liées à du trafic de drogue), il permet depuis 2018 d’accéder, avec un mandat, à des données stockées dans les clouds états-uniens.
Pas de backdoor ouverte, donc, par Microsoft, qui n’a fait qu’appliquer la loi. Une loi puissante, puisqu’elle permet de récupérer des données, même lorsqu’elles sont hébergées en dehors du pays. "Le point clé, c’est désormais les données auxquelles les hébergeurs ont accès. Où que l’on stocke ces données géographiquement, cela ne change rien, car le droit est extraterritorial", rappelle Olivier Savornin. D’autant qu’avec la secteur 702 du Foreign Intelligence Surveillance Act (FISA), des agences américaines peuvent même collecter des données sans mandat, aux Etats-Unis ou à l’étranger.
L’Europe a riposté… mais de façon insuffisante
L’Europe a vite réagi, faisant tomber dans la foulée, en 2020, l’EU-US Privacy Shield, "bouclier de protection" des données, un accord signé entre les deux zones. "Historiquement, les Etats-Unis ne sont pas adéquates au sens de la réglementation européenne, souligne Gaël Mahé. Le Safe Harbor, précédent accord, est tombé à cause du Patriot Act. Les entreprises américaines ont ensuite relocalisé les données, mais le Cloud Act est arrivé, et fait tomber le Privacy Shield."
Les lois européennes, notamment le RGPD, préviennent désormais le transfert de données hors de l’UE en l’encadrant strictement. L’arrêt "Schrems II", rendu par la Cour de justice de l’Union Européenne (CJUE) en 2021, a lui acté que les prélèvements de données par les autorités américaines n’étaient pas conformes à la protection requise par le droit européen. Mais au final, les données stockées sur des hébergeurs américains, y compris en Europe, ne sont pas sûres, les clés de chiffrement apparaissant comme un des points de vulnérabilité.
D'où l'utilité de se tourner vers des hébergeurs complètement locaux, bâtis autour d’architectures dites "zéro connaissance", où l’accès aux données est impossible. "Certains fournisseurs européens, comme OVH, ont désormais coupé leurs liens techniques avec leurs filiales nord-américaines", indique Olivier Savornin.
Autre solution concrète pour échapper à l’inspection des big techs américaines : la solution 3-2-1. "3 copies des données, dans 2 endroits différents, et l’une déconnectée des deux autres. La clé d’encryption restant elle dans une "golden copy" sécurisée", décrit encore Olivier Savornin. Le Comité européen de la protection des données, lui, appelle à conserver la gestion des clés, sans les confier à son hébergeur.