Qu'a fait pour vous le Cloud...

superDude · Le 28/04/2010, à 16:51

Quand Google Docs mâche le travail du FBI
En août dernier, lors d’une enquête sur des spammeurs, le FBI a obtenu un mandat l’autorisant à exiger de Google de lui fournir tous les Google Docs d’un suspect (voir l’article de Wired). 10 jours après, Google leur a envoyé les documents, dont une feuille de calcul contenait plus de 3 millions d’adresses spammées. Sans le cloud computing, obtenir une telle pièce à conviction aurait pris des semaines, puisqu’il aurait fallu aller la chercher sur le disque dur du suspect. Et encore, il aurait pu tout avoir effacé.
Le mieux dans cette histoire: Le FBI n’avait même pas besoin de mandat. Une loi de 1986, le Stored Communications Act, autorise la police à accéder aux documents personnels stockés sur un serveur après un délai de 180 jours. Ce qui était sensé dans les années 1980 (lorsque les documents ne faisaient que transiter du serveur vers des ordinateurs distants) provoque un joli maelstrom à l’heure de l’informatique dans les nuages.
En utilisant cette loi surannée, un procureur général américain a voulu forcer Yahoo à transmettre des e-mails plus récents que 180 jours, sous prétexte que l’utilisateur les avait déjà lus (toujours chez Wired).
Cette demande a provoqué une levée de boucliers chez les défenseurs de la vie privée outre-Atlantique. Soutenu par Google et l’Electronic Frontier Foundation, Yahoo a tenu bon, empêchant ainsi les flics US de lire à loisir les e-mails d’une vaste majorité d’Américains.
Résultat, si vos données sont hébergées par un fournisseur basé aux Etats-Unis, ou même sur un serveur installé là-bas, la police n’a pas beaucoup d’obstacles à franchir pour y avoir accès.
En France, le règne du flou
En France, le statut des données stockées dans les nuages manque de clarté. La loi relative au secret des correspondances électroniques de 1991 dispose que la force publique ne peut mettre son nez dans vos mails que si la sécurité nationale est en cause (ou le grand banditisme, ou le terrorisme – le genre de choses qui a peu de chances de vous concerner). Et c’est le premier ministre qui doit autoriser et motiver l’autorisation d’espionner.
La loi sur la confiance dans l’économie numérique de 2004, qui devait éclaircir les choses, s’est bien gardée de trancher le débat. Elle définit l’e-mail mais en fait l’égal d’une lettre, ce que le conseil constitutionnel a confirmé par la suite. Pour les juges, les policiers et les citoyens, le message est clair: Débrouillez-vous !
Face à une loi aussi peu adaptée aux enquêtes ordinaires, c’est le flou qui domine. La distinction entre correspondance privée et professionnelle, par exemple, oscille depuis deux dizaines d’années. Un jugement de janvier 2010 semble dire que les emails envoyés depuis le lieu de travail ne relèvent pas de la correspondance privée. Il vient à l’encontre d’un jugement de 2001 qui disait exactement l’inverse, c’est-à-dire que toute correspondance électronique envoyée à un seul destinataire depuis une adresse protégée par mot de passe est privée. Jusqu’à ce que la cour de cassation tranche, les juges seront libres de se fonder sur l’une ou l’autre des décisions.
Quant aux moyens pour la force publique d’accéder aux mails, c’est encore plus drôle. En 2007 par exemple, un médecin isérois partageant par mail avec ses collègues ses réserves quant au bien fondé d’une mesure gouvernementale s’est vu convoquer chez le sous-préfet. Comment les e-mails se sont-ils retrouvés à la préfecture? Nul ne le sait.
Nuage dragon
lrargerich/Flickr
Un cocktail de lois nationales
Alors, faut-il préférer une loi Américaine qui ne protège que modérément l’utilisateur ou une loi française qui hésite depuis 20 ans sur la démarche à adopter? Et quels services sont soumis à quelles lois?
Dans une décision d’avril 2008, le TGI de Paris a affirmé que les lois françaises ne s’appliquaient pas aux services hébergés aux Etats-Unis. Les juges ont débouté une française exigeant que Google efface ses interventions sur Google Groups. Même s’ils ont souligné que la loi de 1978, censée donner aux internautes un droit d’accès à leurs données, ne s’appliquait pas à une entreprise californienne, les attendus expliquaient aussi que la plaignante pouvait faire le travail elle-même, en effaçant les messages à la main. Encore une fois, tant que la Cour de Cassation ne s’est pas prononcée, nul ne sait à quoi s’en tenir.
Mais de toute façon, une décision de justice en France peut très bien être contredite par un jugement américain. Un article de Bloomberg recense la flopée de jugements internationaux n’ayant aboutis à rien, faute de coordination entre juges européens et américains.
Pour Stéphane Grégoire, chargé de mission au Forum des droits sur l’internet, que j’avais interviewé en février, la solution à ce méli-mélo juridique est d’unifier le droit du cloud computing au niveau mondial. Les sites globaux, comme Facebook, sont soumis à 130 lois nationales différentes. Impossible dans ces conditions de créer des services sur mesure pour respecter les législations locales.
Dans ce but, le groupe de travail G29, qui rassemble les 27 CNIL européennes, propose pour commencer d’unifier la notion de ‘données à caractère personnel’ (voir l’avis). En effet, les textes communautaires laissent aux 27 membres de l’Union une bonne marge de manœuvre pour décider de l’interprétation de ce terme.
Les législateurs les plus intéressés par le sujet, en Autriche, ont clarifié la situation en créant la catégorie des données indirectement personnelles, qui ne permettent pas en elles-mêmes d’identifier une personne (l’adresse IP, par exemple). A l’inverse, la cour suprême allemande a opté pour une approche de la question au bulldozer en février dernier, interdisant la sauvegarde de données liées aux appels téléphoniques et aux e-mails jusqu’à ce que le gouvernement revienne avec des amendements protégeant plus l’utilisateur.
Conclusion: Si vous voulez conserver un total contrôle sur vos données personnelles, ne stockez rien en ligne! Sinon, vous prenez un risque que vous ne pouvez pas évaluer.

Source: http://blogs.lesinrocks.com/web-obscur/?p=98

Dernière modification par superDude (Le 28/04/2010, à 16:52)

AlexandreP · Le 29/04/2010, à 00:42

C'est quoi, le cloud computing ? Est-ce un terme exclusivement réservé aux services grand public d'hébergement de données en ligne tels Facebook, Google Docs, Windows Live Hotmail, Flickr, MegaUpload, MySpace, Twitter, DropBox, Ubuntu One... ? Ou bien ça concerne aussi le serveur web et FTP de mon collège, dans lequel mes enseignants me proposent des exercices et des notes de cours ? Ou encore le serveur d'applications et de base de données à mon travail, depuis lequel je télécharge quotidiennement une interface Java pour contrôler une liste de livres que nous possédons (je travaille dans une bibliothèque) ? Ou encore mon serveur de courriels, dans lequel j'ai ma boîte de réception et celle des autres membres de ma famille, auquel ils peuvent accéder par une interface web ? Sérieusement, je m'embrouille...

Cela dit, comme le dit Hugo dans son commentaire à l'article original, le plus important n'est pas tant de refuser catégoriquement de stocker certaines données personnelles ailleurs, mais plutôt de contrôler à qui on accepte de les confier. Pour confier ses données, on doit avoir confiance en la personne qui les conserve et se renseigner à propos des modalités de conservation de ses données (ça implique, donc, les lois nationales auxquelles est soumise la personne qui héberge les données).

Days · Le 29/04/2010, à 00:50

AlexandreP a écrit :

C'est quoi, le cloud computing ? Est-ce un terme exclusivement réservé aux services grand public d'hébergement de données en ligne tels Facebook, Google Docs, Windows Live Hotmail, Flickr, MegaUpload, MySpace, Twitter, DropBox, Ubuntu One... ? Ou bien ça concerne aussi le serveur web et FTP de mon collège, dans lequel mes enseignants me proposent des exercices et des notes de cours ? Ou encore le serveur d'applications et de base de données à mon travail, depuis lequel je télécharge quotidiennement une interface Java pour contrôler une liste de livres que nous possédons (je travaille dans une bibliothèque) ? Ou encore mon serveur de courriels, dans lequel j'ai ma boîte de réception et celle des autres membres de ma famille, auquel ils peuvent accéder par une interface web ? Sérieusement, je m'embrouille...
Cela dit, comme le dit Hugo dans son commentaire à l'article original, le plus important n'est pas tant de refuser catégoriquement de stocker certaines données personnelles ailleurs, mais plutôt de contrôler à qui on accepte de les confier. Pour confier ses données, on doit avoir confiance en la personne qui les conserve et se renseigner à propos des modalités de conservation de ses données (ça implique, donc, les lois nationales auxquelles est soumise la personne qui héberge les données).

Mon dieu, c'est si rare de lire un commentaire intelligent sur le sujet.

Super sayen +1.

DrEmixam · Le 29/04/2010, à 00:54

AlexandreP a écrit :

Cela dit, comme le dit Hugo dans son commentaire à l'article original, le plus important n'est pas tant de refuser catégoriquement de stocker certaines données personnelles ailleurs, mais plutôt de contrôler à qui on accepte de les confier. Pour confier ses données, on doit avoir confiance en la personne qui les conserve et se renseigner à propos des modalités de conservation de ses données (ça implique, donc, les lois nationales auxquelles est soumise la personne qui héberge les données).

J'aurais pas dit "à qui on les confie" mais "quelle est la nature de ce qu'on confie ?"
Que google ait mes newsletters de multiples sites, les mails que je reçois de mes profs de fac ou certaines correspondances même privées mais dont le contenu est très banal je m'en fous…
Le jour ou j'aurais des choses plus sensibles à échanger c'est clair que je leur ferais pas confiance.

DrDam · Le 29/04/2010, à 08:39

AlexandreP a écrit :

C'est quoi, le cloud computing ?

technique c'est la déportation ("cloud") de traitement ( computing ) .
En gros tu as un gros calcul à faire, tu le découpe en morceau et tu le fait traiter par N machines.
La différence avec le clustering, c'est que là tu utilise un volume de machin non définit présente sur le Net

Grünt · Le 29/04/2010, à 09:48

DrEmixam a écrit :

J'aurais pas dit "à qui on les confie" mais "quelle est la nature de ce qu'on confie ?"

Les deux, en fait. "Qu'est-ce que je confie à qui?"

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 28/04/2010, à 16:51

Qu'a fait pour vous le Cloud...

#2 Le 29/04/2010, à 00:42

Re : Qu'a fait pour vous le Cloud...

#3 Le 29/04/2010, à 00:50

Re : Qu'a fait pour vous le Cloud...

#4 Le 29/04/2010, à 00:54

Re : Qu'a fait pour vous le Cloud...

#5 Le 29/04/2010, à 08:39

Re : Qu'a fait pour vous le Cloud...

#6 Le 29/04/2010, à 09:48

Re : Qu'a fait pour vous le Cloud...

Pied de page des forums