Cloud computing : une nuée de problèmes stratégiques dans un monde incertain

Publié Par Frédéric Prost, le dans Technologies

Le cloud computing a des avantages séduisants, mais aussi des problèmes qu’il faut considérer avant de l’adopter.

Par Frédéric Prost.

La virtualisation croissante de nos vies n’en finit pas de poser des questions anciennes dans un nouveau contexte. Fondamentalement tous les problèmes en reviennent aux frictions entre le monde matériel et le monde virtuel (les problèmes liés à l’identité numérique n’étant qu’un exemple parmi d’autres). Il n’est donc pas étonnant que dans le cadre du cloud computing des difficultés inattendues apparaissent.

Le cloud c’est l’idée toute simple selon laquelle, à une époque où la communication est à la fois instantanée et quasi-gratuite (plus exactement le coût marginal de la communication d’un bit d’information est quasi nul), il est possible de rationaliser à la fois le stockage et les traitements informatiques. L’idée est très séduisante : pourquoi s’embêter à gérer soi même son infrastructure informatique si on peut la sous-traiter à des professionnels qui se chargeront de le faire ? Il n’y aurait plus qu’à se munir de machines rudimentaires qui servent simplement d’interfaces réseau et permettent à l’utilisateur d’accéder à ses données et services. On pourrait schématiquement dire que le cloud est à l’informatique au XXI° siècle ce que l’électrification à été à l’énergie au XX° : tout un chacun, des grandes entreprises aux particuliers, n’aurait plus qu’à se brancher sur le réseau pour obtenir de la puissance informatique à la demande.

Les avantages du cloud sont séduisants : facturation en fonction de la consommation réelle (pas besoin d’acheter des machines inutiles au moins la moitié de la journée), fiabilité accrue (les grandes fermes informatiques sont sécurisées, dupliquées etc.), flexibilité plus grande, gain de productivité (avec toutes les économies d’échelle qu’on peut imaginer), etc. Actuellement ce sont, comme bien souvent dans le domaine des technologies de l’information et de la communication, des géants américains, notamment AmazonMicrosoftApple et Google qui se taillent la part du lion. Le fait que ces derniers soient américains n’est pas anecdotique.

Le cloud peut sembler miraculeux sur bien des points, il demeure qu’externaliser ses données n’est pas anodin. Comment s’assurer qu’on aura accès en permanence à ses dernières ? Quels sont les risques en matière d’espionnage ? On peut bien sûr faire confiance aux géants de l’informatique sus nommés pour respecter les SLA (le plus souvent peu claires voire illisibles). C’est d’ailleurs ce que font la plupart des gens en utilisant qui Doodle pour planifier des réunions, qui le cloud Apple pour sauvegarder leur Iphone etc. Il existe cependant un risque ignoré de la plupart des utilisateurs. À partir du moment où l’acteur du cloud que vous utilisez a une activité commerciale aux États-Unis, les agences de renseignement américaines peuvent demander l’installation de dispositifs permanents pour enregistrer toutes les données gérées en dehors des États-Unis (loi FISAA article 1881a). Comme d’habitude les justifications sont dans la lutte anti-terroriste… Le fait que la loi précise que les « renseignements étrangers » couvrent « l’information qui concerne une organisation basée à l’étranger politique ou un territoire étranger qui se rapporte à la conduite des affaires étrangères des États-Unis » montre que cette justification n’est rien de plus qu’un cache-sexe aux dimensions les plus ténues. En d’autres termes, cette loi est un blanc-seing pour la surveillance politique avec ou sans lien avec le terrorisme. Étant donnée que les agences de renseignement américaines peuvent obliger le fournisseur à réaliser de telles écoutes numériques, il est presque impossible de s’en protéger et même de le savoir. Une solution serait de tout crypter avant d’entreposer ses données sur le cloud. Ce dernier perdrait une grande partie de son intérêt puisqu’il se trouverait réduit à n’être plus qu’une solution de stockage, un genre de Dropbox taillé pour l’entreprise. Car dès que les données sont décryptées pour être utilisées, si ce décryptage n’a pas été fait en local (c’est donc exactement l’antithèse de ce qui est cherché par le cloud), il est légitime de penser qu’il a été copié par des oreilles gouvernementales au passage.

En marge de ce problème « d’espionnage institutionnel » un autre souci commence à apparaître : la féodalisation du net. Cette idée développée par Bruce Schneier repose sur la constatation que sur internet les utilisateurs sont de plus en plus dépendants de grands seigneurs (qui sont justement ces acteurs majeurs du cloud) : que vous ayez un téléphone fonctionnant sous Android vous impose d’avoir un compte Google ce qui vous pousse à utiliser les services en ligne de Google. On pourrait dire la même chose de ceux qui ont un Iphone et qui gravitent dans le monde d’Itunes. Vous pouvez aussi choisir de tout déléguer à Microsoft, Samsung également entre dans le jeu etc. Il devient de plus en plus difficile de ne pas faire allégeance à l’un de ses géants du web. Les implications de ce modèle sont que ces géants des TIC prennent de plus en plus le pouvoir sur les matériels (du Kindle en passant par l’Iphone) et les logiciels que nous utilisons (il faut jailbreaker son Iphone pour y installer un programme qui n’a pas reçu le sceau d’Itunes). D’autre part ce sont eux qui ont le fin mot sur les données des utilisateurs. Le dernier scandale en date sur l’utilisation commerciale que voulait faire Instagram des photos personnelles n’est qu’un exemple parmi d’autres des problèmes qui peuvent en découler. Le marché faustien qu’ils proposent est d’échanger du contrôle, que l’on perd, contre de la tranquillité (et de la protection offerte par le seigneur protecteur). Enfin, toute personne ayant migré d’un Iphone vers un téléphone Android peut mesurer combien la liberté de disposer de ses propres  informations est toute… relative.

On le voit le passage au cloud n’est pas de même nature que celui qui consista à uniformiser l’accès à l’énergie. En termes stratégiques, la domination des États-Unis est inquiétante du fait de la tournure autoritaire prise depuis 2001 et l’empilement de lois facilitant les écoutes pour l’exécutif. Que l’Europe et la France avec Andromède tentent de mettre en place des solutions de cloud « locale » pourrait être une piste. Mais à l’image du moteur de recherche européen, Quaero, on est en droit de douter du succès d’une telle entreprise face aux mastodontes du net. Une solution scientifique pourrait exister en utilisant la cryptographie homomorphe, c’est-à-dire une manière de crypter les données qui permet de travailler sur ces dernières sans avoir à les décrypter. Seulement pour l’instant ça reste du domaine de la recherche fondamentale et ce n’est absolument pas envisageable d’un point de vue industriel. Donc en attendant que faire ? Se montrer vigilant et se tenir informé semble être un minimum pour ne pas céder aux chants des sirènes se cachant dans les nuages.

Laisser un commentaire

  1. Je peux ajouter, étant du milieu Datacenter, qu’il y a d’autres solutions que de passer par le « cloud » (révolution uniquement pour ceux qui ne connaissent pas l’informatique, avant, pour ne citer qu’un exemple, il y avait Citrix). Aujourd’hui, Une entreprise n’a pas trop intérêt de garder son informatique en interne, question de sécurité des accès, fourniture d’une électricité de qualité, etc …
    Par contre, basculer sur un « cloud » pour leurs données sensibles, est une hérésie totale !!! Il vaut mieux, pour la société, de louer de l’espace dans un Datacenter, d’y coller ses serveurs et d’avoir une société de services qui va gérer et effectuer les taches sur ces serveurs.
    Je rappel que le problème de la sécurité des données, ne date pas du « cloud » mais depuis les BlackBerrys ! Tous les mails passant pas le territoire américain sont donc possiblement lus par celui-ci.
    Donc, un bon conseil, si vous voulez garder une sécurité sur vos données, que le cout vous soit largement inférieur que celui du cloud, qui monte très fortement des que l’on augmente en volumétrie, pensez a voir le prix d’une location d’espace dans un Datacenter français.

    1. Oui il existe des dizaines de solutions intermédiaires. Il y a un point sur lequel je veux attirer l’attention cependant : c’est justement quand les données ne sont pas sur le territoire américain mais par contre sont manipulées par des sociétés ayant une activité commerciale aux US qu’ils peuvent imposer des écoutes pour des raisons disons étranges. Autrement dit il ne suffit pas que le Datacenter soit français encore faut il qu’il n’ai pas un pied aux US…

  2. Je suis tout à fait d’accord avec les gouffres béants de confidentialité qui s’ouvrent dès que l’on a le malheur de signer avec une entreprise américaine…..
    Je crois que pour un maximum de sécurité il est recommandé de s’adresser aux sociétés suisses qui proposent des solutions d’hébergement privées.

  3. Facile de diaboliser les USA quand nos consciences ont été triturées par des médias de gauche sur le pouvoir des impéralistes.
    Juste un point, lisez les conditions du contrat ARCEP pour être détenteur de données publiques et vous comprendrez qu’en France, notre état peut lui aussi interroger les contenus ou vous demander des les conserver. Alors Big Brother de gauche ou de droite…

  4. Le cloud repose aussi la question du vocabulaire utilisé. Celui-ci est loin d’être neutre, le cloud un terme nuageux nous laisse croire qu’il est sans souci.
    Dans le même registre, voici une brève analyse du glissement des Données aux data
    La montée en puissance du mot data indiquerait-elle un glissement de sens du terme données vers une connotation de plus en scientifique au détriment de son sens originel ?

    http://www.regard-sur-limage.com/spip.php?article861