Depuis le début de cette année on a beaucoup parlé de cloud computing. Bien que les vendeurs soient à peu près tous d’accord sur le fait que le cloud est la tendance à suivre et dans laquelle il faut investir, du côté des clients l’engouement est nettement moins prononcé et le cloud a encore du mal de trouver sa place en entreprise. Il est vrai que le « modèle cloud computing » risque de changer radicalement les habitudes et engendre diverses réticences : les administrateurs systèmes voient d’un mauvais œil le fait qu’une partie non négligeable de leur business leur échappe quand aux DSI, il s’inquiètent pour la privacy et la sécurité de leurs données. Le risque est-il réel ?
En matière de privacy, le risque qu’un administrateur système de Google, Microsoft ou Amazon aille fouiller dans les données d’une entreprise est le même qu’en interne et pour être honnête, le risque à ce niveau est peut être même moins élevé auprès des grands acteurs du cloud : des géants de l’informatique tels que ceux mentionnés précédemment ont les moyens de mettre en place toutes les infrastructures et équipements nécessaires pour surveiller les actions de leurs propres employés. Bref, de ce côté-là, il n’y a pas d’inquiétudes à avoir. Malheureusement, les choses ne s’arrêtent pas là et la privacy est menacée par tout autre chose : le Patriot Act.
Depuis les attentats du 11 septembre, une loi a été mise en place au Etats-Unis. Le Patriot Act est une loi qui permet aux services secrets américains de mettre sur écoute toute personne sans qu’il soit nécessaire de fournir une preuve de son implication dans un acte terroriste. Cette loi autorise aussi les Etats-Unis à venir dans une société afin de prendre du matériel, copier des données et même installer des dispositifs reliés aux équipements présents sans avoir à en expliquer le fonctionnement, l’utilité ni même le motif de l’installation. Dans ces conditions, même avec de la bonne volonté, il est difficile à une entreprise basée aux Etats-Unis de garantir à ses clients que personne n’aura accès à leurs données. Pour information, au mois de mars, le Patriot Act qui, au passage, viole 6 amendements de la constitution des Etats Unis a été reconduit pour un an par le président Obama.
Les fournisseurs sont naturellement conscients de ce problème et offrent donc la possibilité à leurs clients de choisir la zone géographique où seront stockées leurs données. L’utilisateur pourra alors choisir de placer ses données hors de la juridiction des Etats-Unis. Naturellement le fournisseur est toujours tenu de respecter la législation en vigueur du pays dans lequel il s’est implanté.
Au niveau de la sécurité, le cloud s’avère particulièrement intéressant pour les pirates. Derrière des sites tels que Gmail se trouvent des centaines de millions d’utilisateurs. Voilà qui est très alléchant pour des personnes mal intentionnées. L’affaire qui oppose Google à la Chine ne contribue pas à rassurer les gens. Ajoutons à cela la récente affaire de piratage de compte Gmail… Que s’est-il passé ? Les boîtes mails de diverses personnes ont été piratées et du spam a été envoyé à l’ensemble des contacts des gens dont le compte s’est fait piraté. Leur compte a été utilisé depuis la Chine. D’après Google, la faute serait du côté des utilisateurs qui n’emploieraient pas un mot de passe suffisamment fort ou qui auraient donné leur mot de passe à une autre personne ou qui n’utiliseraient pas de connexions sécurisée.
Si l’on peut penser que certaines victimes ont un mot de passe faible, les messages présents sur le forum officiel de Google laissent penser que l’attaque s’est effectuée au niveau de Gmail et non côté clients. Certains utilisateurs spécifient que leur mot de passe n’est pas « trouvable par dictionnaire » ou que leur mot de passe est « plutôt fort ». En gros, parmi les victimes, certains avaient très certainement de bons mots de passe qu’une attaque par dictionnaire n’aurait pu découvrir. D’autres utilisateurs ont vérifié leur système au moyen d’antivirus, antispyware et leurs outils n’ont rien trouvé (naturellement, aucun outil n’est infaillible).
Même des utilisateurs sous GNU/Linux ont été victime de ce problème. Je ne nie pas la possibilité de créer un keylogger, un virus ou un spyware sous GNU/Linux, mais soyons honnête c’est très très rare : il est nettement plus intéressant, pour un pirate, de créer un malware pour un système tel que Windows qui représente près de 90% du marché. Ici, les victimes utilisaient donc des systèmes différents (Windows, GNU/Linux) et différents browsers. Pour finir, ces utilisateurs ont visiblement des profils variés (débutants, utilisateurs avertis). Bref, tout laisse croire que le problème se situe plutôt au niveau de Google.
Cette histoire ne se limite pas à un problème de sécurité, mais concerne également la privacy : chaque personne ayant reçu le spam en question connaît à présent toutes les adresses email présentes dans la liste de contact du compte gmail leur ayant envoyé le spam.
Les craintes au sujet de la sécurité du Cloud Computing risquent donc de durer un certains temps.
Leave a Reply