09.08.2012, Allemagne, Bielefeld
Conférencière : Rena Tangens
Le BigBrotherAward dans la catégorie « Instances officielles et administration » est remis au
Cloud
comme tendance à déposséder les utilisatrices et utilisateurs du contrôle de leurs données numériques.
Pourquoi cela ? Des nuages moutons – c’est si joli et c’est tendance ! Au CeBIT de cette année on n’a parlé que du « cloud-computing » comme on dit. Alors, regardons de plus près ce qu’il en est de ces beaux moutons…
Mais qui est le lauréat ? Il semble qu’il n’y ait personne de vraiment responsable. Approchons … regardons … même de près, avant tout, il y a du brouillard … Avant que vous suiviez aveuglement le feu antibrouillard arrière de celui devant vous, c’est-à-dire avant de stocker, c’est si simple, vos données dans le cloud, essayons de dissiper le brouillard et d’apporter quelques éclaircissements.
En général, qu’est qu’un cloud ?
À vrai dire ce n’est pas si difficile. Un cloud, c’est un ordinateur ou plusieurs ordinateurs, on ne le sait pas, car le cloud est invisible. Ça a l’air bizarre, mais c’est cela. Cloud signifie que l’on utilise une quelconque infrastructure comme un logiciel ou un espace de mémoire sur un ou plusieurs ordinateurs qui offrent ce service via le réseau et tant d’espace dont j’ai besoin. Qui ? Quoi ? Où ? Combien ? Peu importe comment ça marche tant que cela fonctionne, non ? D’après la devise « Que m’importe l’énergie nucléaire – l’électricité sort de ma prise de courant. »
Le cloud est opaque – au moins pour l’utilisateur :. Que se passe-t-il à quel endroit ? La différence entre « Je l’ai enregistré sur mon ordinateur » et « c’est enregistré quelque part en ligne » tend à se perdre et ça convient aux fournisseurs de ces services. Avant tout il faudrait que ce soit simple, n’est-ce pas ?
Qui voudrait savoir davantage lors de son vol à travers le nuage cherchera vainement une équipe au bord de l’avion. Connaissez-vous la belle histoire du net à ses débuts où les systèmes d’exploitation d’ordinateurs (DOS, Windows, Mac, Unix etc.) sont comparés à des lignes aériennes ?(1) Windows a l’air pas mal, mais plante subitement; sur Unix tous les passagers doivent mettre la main à la construction de l’avion. Chez Macintosh-Airline tous les employés ont la même uniforme, le personnel au sol, le pilote, le steward, ils sont tous pareils. Et si vous avez une question on vous dit gentiment « Vous n’avez pas besoin de savoir, en fait vous ne voulez pas le savoir – allez, retournez à votre place et regardez un film. » Avec le cloud cela marche à peu près de la même façon. La frontière entre faciliter et diriger l’utilisation est dépassée depuis un certain temps.
Les données personnelles quelque part dans le brouillard numérique – nombre d’utilisatrices, entourées avec attention, pensent que leurs données leur appartiennent et elles seules pourraient aller les chercher dans les nuages. Loin s’en faut !
Celui qui y réfléchit un peu choisira un service cloud dont ses serveurs se trouvent en Europe. Il pense « Des serveurs en Europe c’est bien, car les lois de protection des données y sont beaucoup mieux que de l’autre côté de l’Atlantique. » Tu parles !
Contrairement à ce que pensent des utilisateurs privés et des clients professionnels, peu importe que les ordinateurs du cloud se trouvent en Europe, aux États Unis ou ailleurs : dès que la société d’exploitation est américaine, elle est obligée de laisser accéder les autorités aux données des clients en Europe. Ce sont les lois US antiterroristes « Patriot Act » et le « FISA Amendments Act of 2008″ (Forein Intelligence Surveillance Act) aliéna 1881 qui l’y obligent. La mention « remote computing services » désigne entre autre le « Cloud Computing ». Caspar Bowden, ancien commissaire de la protection des données de Microsoft Europe qui s’est fait virer en 2011, n’a de cesse de faire remarquer ce point et de dénoncer le transfert des données de l’Europe vers les États Unis.
ENISA aussi, l’agence européenne pour la sécurité des réseaux, avertit que des sociétés européennes transmettent des données sensibles lors du Cloud Computing à la légère.
Très concrètement : Microsoft admit en juin 2011 de faire passer de son service cloud Office 365 des données européennes à des instances gouvernementales américaines. Microsoft ne serait pas en mesure de garantir que les utilisateurs concernés en seraient informés, car les services secrets pourraient les contraindre aidé par un décret muselière à passer cette mesure sous silence. Un porte-parole de Google poursuivit en août 2011 en déclarant que Google aurait, à maintes reprises, transmis des données d’utilisateurs européens aux aux services secrets américains.
C’est alors que le nuage des gentils moutons devient un nuage d’orage : c’est alors que le droit américain entre en collision avec le droit fondamental allemand que la Cour constitutionnelle fédérale a confirmé en 2008 en rendant une décision qui interdit la « perquisition en ligne » d’ordinateurs. C’était le droit fondamental garantissant la confidentialité et l’intégrité de systèmes TIC (technologie de l’information et de la communication).
Pourtant, il y a la convention « Save Harbor » entre les USA et l’UE, qui assure que les sociétés américaines respectent des règles de protection des données qui ressemblent aux règles européennes. Microsoft, Amazon, Google, Hewlett-Packard et Facebook en font partie. Mais ces entreprises se certifient elles-mêmes, sans aucun contrôle indépendant. L’étude nommée Galexia a constaté en 2008 que parmi 1.597 entreprises américaines qui sont sur la liste de Safe Harbor, seulement 348 répondent aux critères formels de cette certification. « Safe Harbor » n’est aucunement un havre de sécurité, mais plutôt un mirage.
Continuons à lever le brouillard et dirigeons notre attention sur les mobiles des fournisseurs de cloud service : pourquoi les fournisseurs ne protègent-ils pas mieux les données de leurs clients ? Entretemps on trouve tant de belles paroles dans les conditions d’utilisation comme « Nous prenons votre sphère privée très au sérieux …. » et ceci et cela. L’expert de la sécurité des données numériques, Christopher Soghoian, appelle cette prose très justement du « Privacy Theatre ». Les fournisseurs de service cloud ne font effectivement aucun effort pour protéger les utilisateurs et utilisatrices en leur offrant un bon cryptage de leurs données. Mais pourquoi ne le font-ils pas ?
Il y a plusieurs raisons à cela. Le fournisseur Dropbox par exemple fait des économies sur la capacité de mémoire en comparant les valeurs de hachage des fichiers des utilisateurs – et si elle est identique, il stocke le fichier une seule fois, même s’il « appartient » à plusieurs utilisatrices. Dropbox promettait aux utilisateurs un cryptage sûr, mais en réalité c’est Dropbox qui a la clé générale. Apple peut également décoder et lire les données iCloud et se réserve dans les conditions générales le droit de décoder et transmettre les données à d’autres si c’est « opportun ».
Google, Amazon, Facebook etc. avancent une autre raison importante : Leurs services sont « gratuits » et financés par la publicité. Pour proposer une publicité aux utilisatrices et utilisateurs qui soit optimale, qui prenne en compte la psychologie et le contexte, les sociétés doivent pouvoir lire le contenu des données. C’est aussi simple que ça.
Mais pourquoi est-ce que tant de gens et de sociétés vont vers le cloud-computing? C’est peut-être parce qu’ils n’utilisent plus leur cerveau dès qu’une offre est gratuite. Tout d’abord on prend ce qu’on peut, ça ne coûte rien. Dans le choix entre un avantage économique à court terme et une valeur abstraite à long terme comme la sphère privée, la valeur abstraite est pratiquement toujours perdante.
C’est clair, le cloud est pratique et avantageux, mais cela signifie aussi que l’on se met à la merci d’un groupe dont l’intérêt principal est de faire des bénéfices et qui détermine les règles qu’il interprètera comme ça l’arrange. Celui qui me connaît bien à du pouvoir sur moi.
Désolé, chers journalistes d’investigation, mais quand on utilise un compte GMail pour communiquer avec ses informateurs et quand on partage les documents de la rédaction sur Google docs, c’est de l’imprudence. Quand on loue, comme Wikilieaks, de l’espace disque chez Amazon comme mirroir, on ne doit pas s’étonner si cet espace est soudain fermé sous la pression politique.(2) Et le photographe d’Aix-la-Chapelle qui avait stocké des photos artistiques érotiques (il faut souligner qu’il ne s’agissait pas de pornographie !) sur son espace personnel d’un cloud et qui s’étonnait de la menace de fermeture de son accès s’il n’effaçait pas ses photos dans les 48 heures – alors il n’avait donc pas lu les Conditions Générales – (j’imagine que le point critique se trouve sur les pages 68 à 71 en gris clair et en toutes petites caractères) – où on peut lire qu’il est interdit de stocker du matériel choquant dans le cloud.(3) On pourrait continuer ces exemples à l’infini.
Le cloud est moderne, confortable et flexible. En réalité, comme tendance le cloud constitue une régression. : de l’ordinateur personnel intelligent en retour vers un simple terminal du grand ordinateur central – seulement le simple terminal s’appelle désormais « smartphone » et le grand ordinateur central « internet ». Tous ces appareils sont conçus pour nous tenir « en ligne » – en laisse – c.a.d. dans une connexion et une dépendance permanente de l’internet.
Richard Stallman, le fondateur de la « Free Software Foundation » l’a bien résumé. Il appelait le cloud une conspiration pour retirer aux utilisatrices le contrôle de leurs données. Et il y a des éléments qui montrent qu’il n’a pas tort. Et maintenant tous en choeur : « Quand je ne dois rien payer pour un service d’une société, je ne suis pas le client, mais le produit qui sera vendu. » Nous devrions coller cette phrase sur la glace dans la salle de bain pour être sûr de ne pas l’oublier.
Il serait bien de se partager de la capacité de mémoire et de calcul avec d’autres et d’après nos besoins. Il faudrait d’abord faire des recherches si des services cloud digne de confiance peuvent exister. En ce moment il y a un projet européen dont le but est de répondre à cette question ; ce projet se fait dans le Centre indépendant pour la protection des données du Land de Schleswig Hostein où il est en de bonnes mains.
Il y a deux autres points dont nous devons nous occuper nous-mêmes : nous devons intervenir dans la définition des directives européennes pour la protection des données et nous battre pour freiner les transferts de données vers les États Unis. Pour cela nous devons être présent à Bruxelles avec plus de forces. Les lobbyistes américains y sont depuis bien longtemps. Nous devons garder notre assurance et autonomie de réflexion dans les questions IT et cela signifie avant tout d’acquérir des connaissances techniques et juridiques et ne pas toujours choisir le chemin le plus confortable.
En fait nous aimons bien des nuages – le ciel serait ennuyeux sans eux et la pluie a aussi besoin d’un moyen de transport. Et nous aimons la bizarre et charmante « Cloud Appreciation Society » (Société d’appréciation des nuages).
Peut-être le nuage n’est pas l’image qui convient et il s’agit plutôt d’une vielle connaissance : l’accumulation boulimique des données.
Félicitations pour le BigBrotherAward !
Sources de lecture pour approfondir le sujet :
www.bigbrotherawards.de/2012/…
(en bas de la page, sous le titre « Quellen / Zum Weiterlesen empfohlen »)
[1] eecis.udel.edu/~Ezurawski/humor/new_os_air.html
[2]: Amazon bestreitet politischen Druck wegen Wikileaks (heise.de)
[3] Aachener Zeitung: Wie ein Handy-Fan von Wolke Sieben fiel
