L’alerte d’Oracle peut être qualifiée de monumentale. Des 40 CVE officiellement colmatés par Java 7 update 21, 37 sont considérés comme exploitables

2 juillet 2013, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Nouveaux usages et protection du S.I. : Mobilité, BYOD, Réseaux Sociaux, AppMarkets …

Panorama des menaces, conseils et solutions pour sécuriser un SI ouvert

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Un thème récurrent qui a encore toute sa place face à l’ouverture du SI. La tendance à la consumérisation, au Bring Your Own Device, au BYO ID dorénavant, l’utilisation intensive des réseaux sociaux dans le business, l’ouverture du SI aux partenaires et fournisseurs sont autant de nouvelles préoccupations en termes de sécurité pour la DSI. Quels risques ? Quelles menaces ? Comment se défendre ? Etat de l’art des vulnérabilités potentielles et conseils et solutions.

Exceptionnellement afin de fêter la trêve estivale, à l’issue de cette matinée, autour d’un verre de champagne nous procéderons à un tirage au sort avec à la clé le Nouvel ipad et d’autres tablettes sous Android à gagner.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question des changements d’habitude sociétales qui ont permis de faire entrer dans le système d’information les réseaux sociaux, la consumérisation des équipements et ce, en plus de la mobilité des employés quand ils ne travaillent pas de chez eux … Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Vulnérabilités et risques des SI Modernes, Guillaume LAUDIERE, Consultant sécurité Lexsi
• 9H20 – Expertise terrain par Olivier Morel, Ilex
• 9H40 – Conseils, guide et expertise, Patrick Marache du Pôle Sécurité Solucom « Conseils, guide et expertises sur l’identité numérique et le BYOID »
• 10H00 – Expertise terrain, point de vue de Philippe Langlois, Immunapp, spinoff de P1 Security pour le mobile.
• 10H20 – Retour Terrain : deux experts de CEIS décrivent les impacts d’un SI ouvert aux partenaires
• 10H40 – Minute Juridique : les impacts juridiques du SI moderne, comment adhérer au BYOD, utilisation des réseaux sociaux, par Maîtres Olivier Itéanu et Garance Mathias
• 11H00 – PAUSE Networking
• 11H20 – Hack en direct d’un device dans la salle (tablette, smartphone), étape par étape : par Cyril Solomon, expert sécurité, cabinet HSC Consulting. Attaque d’une tablette sous Android : dans un premier temps, la présentation montrera comment il est possible de réaliser une attaque par exhaustivité sur un tablette ayant une protection par mots de passe ou par un code d’accès à 4 chiffres, le tout au travers d’une carte programmable. Par la suite, une présentation d’une application préalablement vérolé et les actions possibles une fois celle-ci présente sur l’équipement.

• 11H40 – Panel sur « Risques et Sécurisation des SI modernes» avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique, présentation d’une étude sur les nouveaux usages par Yves Tapia, Avanade, Thierry Chiofalo, RSSI Bolloré Logistics membre du Clusif qui parlera de son expérience terrain, Médéric Leborgne, Directeur Technique de RIM nous parlera de l’ouverture de la plateforme d’administration du Blackberry à toutes les tablettes et PDAs du marché. Animé par un analyste ou un journaliste IT
• 12H25 – Tirage au sort de Tablettes (Nouvel Ipad, tablette Android et Blackberry Playbook) autour d’un verre de champagne
• 13H 00– Clôture de la conférence

L’édition finale 4.0 de Emet (Enhanced Mitigation Experience Toolkit) est disponible en téléchargement sur le centre de téléchargement Microsoft. Pour ceux qui ne souhaiteraient pas se plonger dans la documentation, il suffit d’installer le programme et d’indiquer, via le GUI, quelles sont les applications que l’on souhaite voir protégées par ce système d’encapsulation (compatible DEP/ASLR etc.). Comme définir ce genre de liste de logiciels à protéger est un travail fastidieux au possible, un certain nombre de profils prédigérés prenant en compte les programmes les plus courants peuvent être invoqués depuis l’interface graphique ou la ligne de commande.

La révélation Prism sera-t-elle assez puissante pour provoquer une réaction de l’Europe et d’une partie de l’Asie ? La question se pose de plus en plus directement autant dans les milieux politiques que dans le landernau sécurité. La récente réaction de l’Allemagne, du Japon, et même de la Grande Bretagne qui montre qu’elle sait « barbouzer » même (et surtout) lorsqu’elle invite des chefs d’Etat, laisse à penser que ces quelques aspirations à posséder un « prism maison » ne constituent que la partie émergée d’un iceberg de l’espionnage numérique. Pour trois coming-out, combien de décision demeurées secrètes et pourtant en cours de formalisation dans les autres pays de l’OCDE ?

Car ce Prism comporte une multitude de facettes qui, chacune, décompose en un éventail de possibilités selon l’éclairage qui tente de les mettre en valeur : Militaro-policier, industriel, infrastructurel, politique intérieure, politique extérieure, commerciale et situation de crise.

L’aspect concernant les outils régaliens de défense, tant militaires que policiers, n’est contesté par personne, surtout depuis le précédent Stuxnet. Internet peut devenir un espace d’affrontements, et chaque Etat se prépare non seulement à réagir à d’éventuelles agressions, mais également travaille à développer une composante offensive efficace. Si vis pacem… Ce qui implique le concours de quelques fabricants d’armes et de boucliers, généralement des entreprises spécialisées dans le secteur de la sécurité Informatique. La France n’est pas l’un des pays les plus mal dotés en ce domaine.

La facette industrielle demeure, en Europe, assez faible. L’indolence et l’absence de concertation Européenne en matière de politique numérique a fait qu’il n’existe pratiquement pas de véritable vecteur capable de pénétrer le tissu industriel international (quelques trop rares SAP ou Siemens mis à part). La « grande frousse » Prism n’est pas tant liée à la prise de conscience qu’un service de renseignement étranger pouvait faire ce pourquoi il a été constitué, mais parce que les outils qu’il pilotait (les services en ligne commerciaux de nationalité U.S.) s’étaient incrustés depuis des années au plus profond de la société Européenne. A tel point que l’ablation semble désormais impossible. Cette osmose, ou cette croissance parasitaire, est fondamentalement univoque. Il n’existe pas de « dépendance » comparable Outre Atlantique vis-à-vis d’outils Européens dont l’industrie du Nouveau Monde puisse se passer.

Infrastructurel ensuite, bien que des efforts considérables aient été prodigués durant ces dernières années pour que chaque pays d’Europe soit moins dépendant de l’architecture définie par l’Icann et le bon vouloir des Top Level Administrators. L’infrastructure est une composante stratégique Scada que l’Europe ne maîtrise pas encore. Pourtant, quelques signes annonciateurs de danger ont déjà été ressentis. Dès le début de l’aventure Internet grand-public d’ailleurs. Il suffisait qu’un backup d’annuaire cafouille chez Network Solution pour que tout internet s’enrhume durant deux ou trois jours. Plus récemment, en novembre 2010, la Chine était accusé d’avoir détourné, durant 18 minutes, une partie du trafic Internet détournant momentanément 15 % des échanges courriel du monde occidental. Cette brève tentative et démonstration de force aurait dû plonger l’Europe dans un abîme de perplexité et une frénésie de réactions. Deux semaines après cet évènement, plus un seul Ministre n’en parlait, et aucune remise en cause radicale des réseaux IP n’a été mise en chantier.

L’aspect politique, en revanche, est l’un des plus développés. Pas toujours dans le sens ou le souhaiterait l’industrie ou les électeurs, d’ailleurs. La menace d’une cyberguerre, l’existence d’une frange de cyberdélinquance ont, très tôt, été instrumentalisées par les pouvoirs en place pour légaliser et répandre des outils de surveillance intérieure… nonobstant le fait que la majorité desdites menaces sont essentiellement extérieures. Cette politique de la gesticulation à tous prix, qui prévoit de lourdes peines au seul soupçon de détenir un sniffer mais qui protège, d’un coupable silence, les réseaux extra-européens d’alimentation en matériel pédopornographique ou d’incitation à l’acte terrorisme sous prétexte de non-ingérence, ont causé un tort considérable dans la confiance citoyenne envers ses institutions et ses capacités de recherche. Certaines initiatives d’autrefois se transforment même de plus en plus en structures passives d’enregistrement au service d’intérêts financiers, quelques vieilles médailles se ternissent (les critères communs d’un NT4 certifié EAL4 sont-ils une garantie anti-intrusion ? certes non, mais ils permettent de ne pas se poser de questions). D’autres fort heureusement, tel l’Anssi, tentent de construire un socle défensif avec des actes concrets : certifications d’outils et logiciels de sécurité, labélisation de sociétés spécialisées dans les audits sécurité, diffusions de bulletins et avis d’information, évangélisation des bonnes pratiques, émission de messages clairs expliquant « où » se trouve l’adversaire (pas nécessairement du côté de la Chine)… On attend encore la création d’un véritable Cert destiné aux citoyens, qui tranche avec la vision autistique actuelle : un humain ne peut être informé que durant les heures de travail, lorsqu’il est fonctionnaire, universitaire, banquier ou qu’il travaille dans l’industrie. Pourtant, plusieurs études l’ont prouvé, les premiers vecteurs d’information demeurent les média… ceux que chaque citoyen consulte en dehors de ses heures de travail. Il ne peut exister de véritable sensibilisation que de sensibilisation populaire, quitte à ce que ce premier niveau soit, par la suite, relayé et complété par les Cert ist, Renater, A et consorts. S’ajoute à cela un manque notable de recul à la fois culturel et technique de certains politiques. Chanter les louanges de l’Internet des objets, donc indirectement plaider en faveur d’une aliénation toujours plus forte du quotidien à une infrastructure IP que l’on sait facile à compromettre et vecteur de fuites d’informations en défaveur de l’Europe, est-ce de l’inconscience ou de l’aveuglement ? Ou, plus trivialement, la quête d’un profit opportuniste à court terme, quitte à payer à crédit en hypothéquant un peu plus notre dépendance technologique et notre liberté d’action ? S’il est sot de refuser en bloc toute nouveauté technologique, il est sage d’en limiter la dépendance ou de pouvoir en récupérer la gouvernance en cas d’urgence.

En matière de politique extérieure, en revanche, tout est encore à réaliser. Favoriser la création de spécialistes du Cloud, avec des budgets d’envergure Européenne (donc une concertation économique et une contribution Européenne) sans tomber dans le saupoudrage et le copinage économico-politique destiné à favoriser tel opérateur télécom historique ou tel équipementier connu, faire fi des pré-carrés, tout ça est encore totalement utopique. Etape quasi insurmontable dans cette vieille Europe qui déchirée par des conflits d’intérêts tantôt nationaux, tantôts business.

Au fil d’un article publié dans les colonnes de CNN, Ronald Deibert, un professeur de Sciences Po Canadien, écrit que les entreprises hors USA viennent brutalement de prendre conscience, après l’affaire Prism du « huge disadvantages of their dependence on U.S.-controlled networks in social media, cloud computing, and telecommunications, and of the formidable resources that are deployed by U.S. national security agencies to mine and monitor those networks ». Et la classe politique vient de réaliser que ce plan était établi sciemment, avec méthode, depuis bien longtemps. Et dans cette vraie-fausse découverte, ce qui impressionne le plus est le nationalisme extrême qui a dicté l’attitude des Microsoft, des Google ou des Apple, qui, bien que pris la « main dans le sac » en flagrant délit de trahison et de communication de contenus, continuent de nier, de minimiser, de parler de recherche d’enfants disparus et de personnes frappées par la maladie d’Alzheimer témoigne El Reg. Cet Alzheimer frappe-t-il les chargés de dossiers des ressortissants non-américains ? Il montre, en tous cas, la force de cette « obéissance et dévotion quasi fanatique envers sa Sainteté l’Etat » qui caractérise les entreprises US, obéissance qui, pour certaines d’entre elles, s’accompagne d’un mutisme, d’un culte du secret qui a su tenir plus de 10 années. La « fuite » de Snowden aurait tout aussi bien pu provenir d’un imprécateur travaillant pour le compte d’un Apple ou d’un Microsoft. Il est même surprenant que cette révélation soit venue de l’intérieur du service même qui a organisé ce formidable montage, et non du sein d’un de ses poissons-pilotes. Si surprenant que l’on pourrait presque se demander dans quelle mesure ladite fuite n’a pas été savamment orchestrée et planifiée …

La gamme des outils de la plateforme sécurité FirePOWER Sourcefire bénéficie d’une série d’améliorations techniques, notamment les équipements de la gamme 7000 et 8000 ainsi que les Next Generation Firewall et IPS. Côté 7000 et 8000, l’un des principaux perfectionnements est une amélioration sensible du débit traité, repoussant les limites de bande passante de 50 Mbps à plus 40 Gbps selon modèle. Les NGFW et NGIPS, quant à eux, voient leurs règles de politique de sécurité IPv6 étendues. Les attaques détectées sont désormais « géolocalisées » (dans la mesure du possible IP). La gestion des NAT est simplifiée et les extensions « haute disponibilité » renforcées.

C’est le second rapport sur la sécurité mobile que publie Checkpoint, industriel Israélien spécialiste de la protection périmétrique. A la suite de cette enquête réalisée par le cabinet d’analyse Dimensional Research, il semblerait que le montant des pertes provoquées par un incident de sécurité lié aux équipements mobiles se chiffre à près de 100 000€ pour 42% des entreprises victimes, montant qui atteindrait 400 000€ dans 16% des cas. L’accroissement des appareils provoqué par la vague Byod connaîtrait des taux jamais constatés jusqu’à présent, dépassant un facteur 5 en l’espace de 2 ans pour 45% des sociétés interrogées.

De toutes ces plateformes, celle jugée la plus risquée serait Android, citée dans 49% des cas, devant IOS d’Apple (25% des cas) Windows Mobile (17%) et Blackberry (9%).

Malgré ces chiffres alarmistes, l’étude précise que «63% des entreprises ne gèrent pas les données stockées sur les appareils personnels, et 93% rencontrent des difficultés à adopter des politiques guidant l’utilisation des appareils personnels ». Le paradoxe devient de plus en plus étonnant lorsque l’on apprend que (53%) des entreprises interrogées ont signalé que des données confidentielles de client sont stockées sur des appareils mobiles, contre 47% l’an passé.

L’intégralité du rapport peut être obtenu sans inscription nécessaire sur le site de l’équipementier.

L’appel à communication vient d’être lancé: Chercheurs spécialistes des Botnets et de l’art de les combattre, vous n’avez plus qu’une petite quinzaine pour soumettre un aperçu de vos travaux auprès du comité de lecture de la BotConf 2013. La date limite de soumission a été fixée au 30 juin et la confirmation des articles retenus au 15 septembre. La rédaction finale ne devra pas parvenir aux organisateurs après le 30 octobre. Les conférences pourront aborder aussi bien les aspects juridiques que techniques, humains et organisationnels, psychologiques ou méthodologiques. Qui se cache derrière les réseaux de Bot, comment les surveiller, les localiser, les combattre, comment recenser les différentes infections ou vecteurs d’attaque qu’ils sont capables de véhiculer, par quel moyen limiter ou faire cesser leur activité ? Cet appel à communication arrive au moment même où une polémique enfle autour des méthodes de lutte employées par Microsoft, jugées quelques peu expéditives, peu efficaces et causant pas mal de dommages collatéraux. Jamais colloque ne sera donc aussi opportun.

Rappelons que la BotConf, qui se déroulera les 5 et 6 décembre de cette année, est la première conférence Européenne consacrée à ces réseaux d’attaque et de compromission informatique. Le comité de lecture compte bien des noms connus du monde de la défense des TIC et de la recherche. Eric Freyssinet, dont les travaux sur le sujet sont connus des spécialistes et habitués des conférences Sécurité, Fred Raynal, l’un des pères fondateurs des SSTIC de Rennes, Nicolas Brulez, chercheur chez Kaspersky, José Araujo de l’Anssi, David Nacache, Alexandre Dulaunoy… Le niveau d’exigence risque d’être relativement élevé et prometteur.

l’ICS Cert (USA) émet une alerte concernant plus de 300 équipements médicaux fabriqués par au moins 40 entreprises différentes. Motif : mot de passe codé en dur. En fait, la nouvelle n’est pas très fraîche, puisqu’elle a fait l’objet d’une présentation par MM Terry McCorkle et Billy Rios durant la conférence sécurité S4, consacrée aux systèmes scada, en janvier dernier. Bon nombre d’articles de presse, dont un dans les colonnes de Dark Reading ou du Washington Post, en ont fait état. On se demande soudainement pourquoi l’ICS Cert ne réagit que maintenant. Une panne informatique, sans doute. Car McCorkle et Rios avaient, par le passé, dénoncé les faiblesses potentielles du système de supervision Scada Niagara de Tridium (4 millions de ligne de codes, des clients dans 52 pays, 11 millions d’appareils connectés… et des liaisons passant par Internet)

Cette fois, il s’agit de défibrillateurs, de systèmes de pilotages de machines d’imagerie médicale, de « gaveuses » et autres pompes d’injection de médicaments. La liste des équipements médicaux susceptibles d’être « hackés » est longue. Absence de chiffrement sur le réseau reliant l’appareil et ses machines de supervision, mots de passe inscrits en « dur » dans le firmware et autres accès sans-fil considérés comme inviolables mais ouverts à tous les vents, les deux chercheurs se sont livrés à un fuzzing sauvage sans la moindre discrimination, et mis en évidence une « attitude de négligence générale » de la part de la quasi-totalité des constructeurs d’équipements médicaux. Déjà, par le passé, de nombreuses alertes avaient été émises, mettant en garde les centres hospitaliers de certaines mauvaises pratiques en matière d’informatisation et de trop faible protection périmétrique. Ceci sans oublier quelques communications sensationnalistes (attaques d’un pacemaker par liaison sans fil par Barnaby Jack notamment) mais peu réalistes.

Le domaine de la santé publique appartient aux domaines Scada, et doit être considéré comme tel d’un point de vue sécurité. Et comme certaines installations de contrôle de processus industriel, cette sécurité semble dater d’un autre âge, conditionnée par des années de « sécurité par l’obscurantisme » et une coupable assurance d’impunité. Mais ce qui semble le plus inquiétant, c’est qu’il ait fallu à un Cert 6 mois pour réagir … et qu’il en faudra un peu plus pour que les constructeurs d’appareils médicaux commencent à faire de même.

L’affaire Prism délie les langues et a pour première conséquence d’attirer l’attention du public sur les autres organisations d’espionnage dans le monde. En Grande Bretagne, le Guardian (encore lui) raconte comment le GCHQ (Government Communications Headquarters, la cellule d’espionnnage SigInt de Grande Bretagne) a espionné les membres du G20 durant le sommet de Londres de 2009… révélation faite le jour même de l’arrivée du Président Obama en Irlande du Nord à l’occasion du G8. Et les moyens furent conséquents : Keyloggers et logiciels d’interception dans tous les Internet Cafés susceptibles d’être utilisés par les participants, hacking offensif des téléphones BlackBerry des délégués afin de fouiller dans leurs emails et surveiller leurs appels téléphoniques, constitution d’une équipe de 45 spécialistes chargés d’analyser, 24H sur 24, les appels téléphoniques des personnalités, exploitation d’informations fournies par la NSA qui interceptait les échanges téléphoniques de Dimitri Medvedev, président du gouvernement Russe, lequel utilisait pourtant sa propre liaison satellite pour demeurer en liaison avec Moscou.

Les sommets politiques ont, de tous temps, été l’objet d’attentions soutenues de la part des services de renseignements, cela n’est pas franchement nouveau. Mais cette affaire rappelle que le MI6 et le GCHQ restent intimement liés avec la NSA, et rendent peu plausible l’étonnement feint par la Chambre de Londres.

Pendant ce temps, au Japon, l’activité de la NSA semble inspirer quelques esprits, écrit Paul Kallender-Umezu dans Defense News. La législation Japonaise est excessivement stricte en matière de respect des correspondances et communications. Le précédent « Prism », ainsi que la mode très répandue du Deep Packet Inspection intéressent de plus en plus l’actuel gouvernement très conservateur de l’Empire du Soleil Levant. « Nous n’irons pas jusqu’au DPI, nous cherchons essentiellement à surveiller les dorsales sous-marines qui alimentent notre pays dans le but de bloquer d’éventuelles attaques en déni de service. Le DoS a bon dos.

En Allemagne, le magazine Der Spiegel rapporte que le Service d’Information Fédéral (BND, Bundesnachrichtendienst) envisage de renforcer sa surveillance sur Internet grâce à un budget de 100 millions d’Euros. La capacité actuelle du BND n’excèderait pas 5% du trafic email/chat/VoIP, explique une dépêche de l’AFP (extrait dans PressTv.ir) rapportant les écrits du Spiegel. La limitation en volume imposée par la loi autorise actuellement une surveillance de 20 % des échanges. Une surveillance qui doit s’opérer « au fil de l’eau », avec des outils de détection temps réel, puisque l’encadrement législatif ne permet pas que ces informations soient stockées et conservées.

L’Allemagne, unifiée depuis moins de 23 ans, garde encore les stigmates du flicage de la Stasi (Ministerium für Staatssicherheit), le service de police politique de l’ex Allemagne de l’Est. Son statut de pays anciennement occupé notamment par les troupes US (ainsi que Françaises, Britanniques et Russes) n’incitait pas, jusqu’à présent, les gouvernements fédéraux successifs de droite comme de gauche à adopter une attitude calquée sur les habitudes et pratiques d’espionnage de ces trois Etats.

Après plusieurs jours de flottements, parfois de stupeur, plus souvent d’exaspération et surtout de grands silences de la part du gouvernement US, le monde numérique commence à recevoir un certain nombre de signaux. Le plus important a été lancé par le Président Obama qui a clairement déclaré que les citoyens de son pays allaient devoir « going to have to make some choices » rapporte le Huffington Post. On ne peut à la fois bénéficier d’une sécurité absolue et d’une préservation de la vie privée absolue déclarait-il en substance. Le jour même, nos confrères de C-Net apprenaient, de la bouche même d’un Sénateur démocrate, que le contenu des communications téléphoniques nationales pouvaient être écoutées « simply based on an analyst deciding that », autrement dit, sans même qu’un juge en soit informé, contrairement à ce que prétendent les porte-paroles de la Maison Blanche en général et son principal résident en particulier. Le Washington Post en rajoute une couche et ouvre une grande enquête sur le réseau d’écoute et la collaboration des opérateurs téléphoniques. Au temps pour les affaires intérieures de la grande Amérique… mais cela ne fait toujours pas l’affaire des particuliers et des entreprises du reste du monde dont les systèmes d’information et les communications sont violés ad majorem USA gloriam.
Reste que la révélation de l’existence de Prism déclenche un « effet domino » et entraîne la révélation d’autres barbouzeries justifiées par un prétendu terrorisme omniprésent. En attendant, quelques citoyens du nouveau monde (dont Brewster, sur Archive.org) tentent de se livrer à un petit exercice de calcul pour estimer les coûts réels que représenterait le stockage des conversations téléphoniques. Le coût estimé de ce flicage intensif est étonnamment bas. Mais les chiffres relatifs au volume de stockage donnent le vertige si l’on envisage un seul instant qu’ils peuvent s’étendre à une très grande partie de la planète, pour peu que l’on prenne en compte les communications VoIP maintenues ou tout simplement routées par les opérateurs nord-américains. Et la VoIP, c’est à nouveau du ressort de Prism.

Les prestataires de services, pour leur part, tentent de minimiser l’affaire, car le gros de leur chiffre d’affaires ne repose pas seulement sur le marché intérieur. Certains journaux français parlent de « transparence » à propos de l’attitude de Facebook et de Microsoft, ainsi l’Expansion… avec une dose d’ironie non feinte. Car cette « transparence » se limite à déclarer sans la moindre preuve que Facebook aurait rejeté une grande partie des demandes de la NSA et dicte à Microsoft d’entretenir un flou très peu artistique sur le volume des demandes de la No Such Agency. Une attitude qui s’explique assez facilement. Car si la vacuité des propos tenus sur les réseaux sociaux a peu de chances de retenir l’attention des espions nord-américains (on imagine mal un « super vilain » faire des « like » sur un service destiné teenagers), ce n’est certainement pas le cas pour ce qui concerne le contenu des fichiers stratégiques des entreprises ayant confié leur bureautique et gestion aux services Cloud de Microsoft. Une seule demande de communication de la part d’une puissance étrangère serait encore trop si elle concerne une entreprise Européenne. Les propos des porte-parole de Microsoft laissent également entendre que la responsabilité de leur communication extérieure leur a totalement échappé. Pour fournir des renseignements sur le nombre de personnes visées par Prism, il leur faut attendre l’aval des autorités fédérales. Ce qui semble logique d’un point de vue national mais totalement ubuesque sur le plan des relations commerciales internationales.

Et nos confrères de l’Expansion continuent en rapportant l’attitude de ces mêmes entreprises U.S. interrogées par… non, pas la Cnil, mais le Ministère Allemand de la Justice. Lequel ne semble avoir obtenu que des réponses en xylolangue.

Achevons avec une notre humoristique très probablement involontaire, signée du Gartner. La société d’analyse et d’étude de marché, nous apprennent nos confrères de Security News (inscription préalable nécessaire), conseille de négocier chaque contrat Cloud en exigeant des détails sur l’administration et la sécurité. Ah, s’il suffisait de cocher une case « NSA Snooping Yes/No », comme la vie des vendeurs de nuages serait simple.