Un prestataire a-t-il mis à mal le cycle de gestion des données de Netflix ?
Mardi 25 octobre dernier, un utilisateur de Reddit (surnommé PoisonWaffle3) a posté un billet intitulé " J'ai mis la main sur un serveur de cache Netflix ".
Il proposait aux autres utilisateurs du réseau social de répondre à leurs questions quant à sa trouvaille mais aussi de partager leurs idées sur les possibles usages personnels pour un tel équipement et ce, avant que son billet soit mystérieusement supprimé.
Sur le plan technique, on ne découvre pas grand-chose
Ce serveur de cache date de 2013 et vient d’être décommissionné. C’est effectivement une occasion rare pour le grand public d’avoir un aperçu d’un des maillons de la chaîne technologique qui permet à Netflix d’assurer une qualité et une disponibilité de service élevé. Bien qu’il ne soit pas récent, on remarque également qu’il ne dévoile aucun secret particulièrement bien gardé.
Plus précisément, il s’agit d’un OCA (« Open Connect Appliance »), une des principales briques d’Open Connect, le réseau de diffusion de contenu (CDN ou Content Delivery Network) de Netflix. Open Connect est un réseau mondial de serveurs intégrés chez les fournisseurs d'accès internet locaux, dont la fonction est de stocker des copies du contenu vidéo au plus près des spectateurs pour accélérer leur diffusion et réduire les coûts liés à l’utilisation du réseau. À l’intérieur, on y trouve des composants de serveurs classiques - sans doute surdimensionné pour un usage privé mais rien de notable ou de particulièrement instructif au regard de l’usage qu’en fait Netflix.
Par ailleurs, cet acteur fournit une documentation publique complète sur Open Connect, disponible sur son site.
Une faille humaine dans le cycle de protection des données de Netflix ?
Ce qui surprend dans cette anecdote c’est, qu’à priori, il est anormal qu’un tel appareil se retrouve entre les mains d’un particulier - d’autant plus qu’il ne travaille pas directement pour Netflix. Dans son billet initial, PoisonWaffle3 expliquait qu’il est employé par un fournisseur d’accès internet local aux Etats-Unis, qui décommissionne en ce moment les OCA installés sur son réseau, et qu’on lui a simplement proposé d’en récupérer un.
Sans trop s’avancer, on peut supposer que les procédures de Netflix ne suggèrent pas de se débarrasser des serveurs (même effacés au préalable) en les donnant à qui veut les prendre. Cependant, la mise hors service en bonne et due forme d’appareils informatiques a effectivement un coût et, sans connaître les circonstances exactes, on peut émettre l’hypothèse qu’un prestataire soucieux de limiter ses frais a pu vouloir se débarrasser de l’appareil de Netflix en prenant un raccourci. Il se peut également que la personne qui a simplement donné le serveur à PoisonWaffle3 n’était pas sensibilisée ou formée sur l’importance d’aller jusqu’au bout de la procédure.
Dans son billet et dans les échanges qui ont suivi sur Reddit, aucune mention n’est faite de données sensibles sur le serveur. Ce n’est du reste pas la fonction de ces unités. Cependant, un informaticien plus chevronné aurait pu en récupérer une partie. Même si en l’occurrence aucune fuite ne semble être à déplorer, cette anecdote illustre parfaitement la manière dont les données d’une entreprise peuvent échapper à son contrôle, mais aussi l’importance de mettre en place des procédures et des solutions strictes de gestion du cycle de vie des données, jusqu’à leur destruction, y compris parfois physique.
Le risque légal
Au-delà du risque de perdre des données importantes pour la compétitivité de l’entreprise - en se débarrassant du matériel obsolète de la sorte - le fournisseur risque pour lui-même et pour l’entreprise de contrevenir aux règlementations sur la protection des données individuelles. Aux Etats-Unis, il n’existe aucun encadrement fédéral en la matière et les législations des États varient. En Europe en revanche, une erreur aussi basique (même commise par un fournisseur de service qui n’est pas nécessairement mal intentionné) aurait pu impliquer indirectement l’entreprise et se transformer en crise ou plus simplement en amende au regard du RGPD.
Les bonnes pratiques à connaître
Généralement, le décommissionnement du matériel informatique professionnel est régi par des pratiques plus strictes, particulièrement s’il s’agit d’un équipement susceptible de contenir des données. C’est loin d’être une opération aussi simple qu’il n’y paraît. La complexité croissante des infrastructures informatiques, fréquemment composées de nombreux appareils à la périphérie, de plusieurs datacenters (et donc d’espaces de stockage multiples) rendent difficile une tâche à priori fondamentale : savoir exactement quelles données contient un équipement lorsqu’il est démis de ses fonctions au sein de l’entreprise.
A minima, l’entreprise effectue une cartographie précise pour savoir quels types de données peuvent être présents sur quelles machines. Cette cartographie requiert une expertise et des solutions spécifiques induisant un coût. Elle s’attache ensuite à les effacer de manière permanente. La procédure d’effacement est plus ou moins complexe selon la nature des données, et peut aller d’une simple réécriture aléatoire sur le support physique (afin de rendre les anciennes données irrécupérables) à une destruction pure et simple des supports physiques. Il faut savoir que des solutions matérielles et logicielles pour « exhumer » les données sur des supports de stockage sont utilisables si les données sont simplement effacées comme le fait un ordinateur commun. Dans l’hypothèse où les supports de stockage sont recyclés, ils sont généralement séparés de leur machine originale, ce qui complexifie une possible « récupération » des données.
Dans ce cas précis, aucune conséquence regrettable n’est à déplorer. Cependant, cette mésaventure est un rappel intéressant des risques et de l’importance de prendre en compte le facteur humain et la relation avec les partenaires dans le cadre de la gestion du cycle de vie des données.
Par Daniel de Prezzo, Head of Technology Sales, South EMEA, Benelux and Nordics, Veritas Technologies