Les craintes exprimées par le cofondateur d’Apple au sujet du cloud computing trouvent un écho inattendu dans l’actualité et dans les réactions des internautes. Doit-on raisonnablement craindre pour la sécurité des données stockées dans le nuage?
Pour ou contre le stockage distant et l’externalisation des capacités de traitement des données ? Il semble bien que Steve Wozniak ait mis les pieds dans le plat en évoquant les “problèmes horribles” auxquels le cloud va nous confronter dans les cinq prochaines années. Alors que le cloud s’instille dans la vie quotidienne du grand public, après s’être installé depuis longtemps dans les entreprises, on découvre à la suite de ces déclarations que Steve Wozniak est loin d’être le seul à penser ainsi.
Et ce n’est pas la récente et angoissante mésaventure du journaliste de Wired Mat Honan (il la raconte ici), qui a perdu toutes ses données en une heure, car on a piraté son compte iCloud, qui va rassurer. Ce journaliste utilisait iCloud pour synchroniser ses données et ses différents comptes, et y accéder depuis ses différents matériels : MacBook, iPad, iPhone. Un pirate s’est introduit sur son compte Amazon, et de là a pu accéder à ses comptes Apple et Gmail. Le reste s’est enchaîné jusqu’à l’effacement total de ses données.
Sur le site Infoworld, un spécialiste informatique, qui connaît bien le cloud computing, estime que le cofondateur d’Apple a tort et que ses propos se rapportent à la rigueur au cloud grand public (réseaux sociaux, espace de stockage gratuit…), mais pas aux services aux entreprises. Il reconnaît toutefois que Wozniak marque un point, au sens où les contrats et les conditions générales des services de cloud ne sont pas toujours lisibles.
Sur Wired, les commentaires sont en revanche presque unanimes. Les internautes décrient, comme Steve Wozniak, la perte de contrôle liée au cloud. En résumé, ils conseillent de n’utiliser les serveurs de stockage distants que pour conserver une copie de données stockées par ailleurs sur un disque dur, ils soulignent les risques de vol et de piratage, mettent en garde contre l’accès interrompu en cas de perte de la connexion, contre l’utilisation marketing des données stockées, et expriment la crainte de voir le cloud contrôlé par un oligopole de géants tout puissants (Amazon, Google, Apple, Microsoft). Et ils ne sont pas les seuls.
Un nivellement par le bas en termes de sécurité
De fait, la sécurité est un thème majeur lié au cloud. Pour preuve, c’était même le thème central du dernier Cebit à Hanovre. Patrick Pailloux, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), expliquait à Lexpansion.com à cette occasion que le cloud comportait de gros enjeux en termes de sécurité, surtout pour les particuliers et les PME : “Cela pose le problème de la perte de contrôle sur les systèmes d’information. Dans ce qu’on appelle le cloud public, on confie ses données et/ou ses applications à un tiers, sur lequel on a très peu de contrôle. Les données sont protégées par la loi de l’endroit où elles se trouvent. Si on ne sait pas où elles sont hébergées, on ne sait pas quelle loi les protège. Dans les contrats, il faut lire les petites lignes. Souvent, il y a très peu d’engagements de la part du prestataire. En règle générale, quand un client fait appel à un sous-traitant, c’est le client qui fixe ses conditions. Généralement, dans le cloud, c’est l’inverse. C’est le prestataire qui fixe ses conditions, quand les clients sont des PME ou des particuliers. Par exemple, il n’est pas rare de voir des clauses selon lesquelles les sauvegardes doivent être faites par le client, le prestataire ne garantissant pas les sauvegardes. En outre, les prestataires mutualisent au maximum. En termes de sécurité, c’est un nivellement par le bas. Plus on a des données sensibles, plus il faut faire attention.”
Les risques sont connus depuis longtemps. On peut en trouver une liste dans ce document publié par Frédéric Connes, consultant spécialisé en sécurité informatique au sein du cabinet Hervé Schauer Consultants. Bien sûr, le cloud a aussi des avantages, sinon le marché n’atteindrait pas les 100 milliards de dollars.
Pour l’avocate Béatrice Delmas-Linel, la question est de savoir quel niveau de sécurité devrait être garanti par les prestataires du cloud computing. “Il paraît cependant illusoire d’exiger un risque zéro et préférable de s’attacher aux engagements et garanties possibles. Ainsi, l’élaboration de normes nationales et internationales sera la bienvenue”, écrit-elle dans une tribune sur le site de l’Afdel. C’est une question technique. La question plus fondamentale, au vu des déclarations de Steve Wozniak et des réactions qu’elle a suscitées, serait plutôt : quelle confiance les utilisateurs sont-ils en mesure de placer dans ces garanties ?
Par Raphaële Karayan, L’Expansion
