Mass-surveillance of Cloud Computing

Voici la traduction d'une des plus intéressante conférence du THSF 2013.

yes-we-scan.jpg

Les vidéos des conférences sont disponibles ici

Cette conférence ne sera pas sur le Patriot Act, mais une chose à savoir sur le Patriot Act est qu’il ne tient pas compte de la nationalité (que vous soyez Américains, Français ou Anglais, cela ne change pas grand-chose, un peu mais pas grand-chose). Mais il y a quelque chose de pire si vous n‘êtes pas Américain et c’est le sujet dont je vais vous parlez aujourd’hui. De plus, cette conférence ne parlera pas du Cloud Computing sous l’aspect du stockage. A la gauche de l’image vous pouvez voir un nouveau datacenter (en fait c’est un vieux datacenter), et sur la droite il y a une pièce, une pièce infâme, appelée pièce 641A et l’objectif de cette conférence sera de savoir s’il existe une pièce telle que celle-là dans les datacenters US ou s’il en existera dans le futur.

Donc je vais vous parler de Cloud Computing sous l’aspect du traitement de données et de la vitesse de traitement de données par les grosses fermes de « Blade Computers » et pas uniquement celui du stockage. Pour savoir d’où vient l’idée de cette conférence nous devons remonter aux années 2000 et une affaire appelée « Warantless Wiretaping ». Cela commença quand en 2003 avec un technicien qui travaillait pour AT&T à San Francisco découvrit que dans son installation était construit une pièce secrète, la pièce que je viens de vous montrer, la 641A, et dans cette pièce était installé les meilleures « Deep Packet Inspection Box» fabriquées à cette époque par une compagnie appelée Narus. Et ce qui arrivait était que les câbles de fibre optique transportant la majorité des informations le long de la côte ouest étaient séparés en deux et dont une branche allait vers les « DPI Box ». On présume un procédé de scan et de traitement à l’intérieur de la Box puis ce qui restait du trafic allait vers la NSA. Les américains furent en colère contre ce procédé car ils pensaient qu’ils étaient protégés par la loi et la constitution de ces procédés de surveillance de masse sans aucun mandat.

En 2005, le New York Time publie cette histoire or il s’avère que Mark Klein leur avait donné l’histoire plus d’un an avant mais ils avaient refusé de le publier avant les élections. Depuis plusieurs lanceurs d’alerte ont dénoncé la même chose venant de la NSA et du FBI. Ils ont essayé d’aller vers les médias officiels pour publier leur histoire. Le LA Time n’a pas voulu et il était très difficile, et il l’est toujours, de faire en sorte que les médias nationaux américains publient ces histoires. Juste avant que le président Obama soit élu en 2008 tout ce secteur d’activité a été légalisé par une loi temporaire appelée le « Protect America Act » qui donnait l’immunité pour toutes les compagnies de télécommunication qui avaient participé dans cela et donc potentiellement redevables, en cas de procès, de plusieurs milliards de dollars de dommage et intérêts pour être les complices de cette activité d’où la nécessité d’une complète immunité. D’autre part, il légalise un nouveau paradigme qui est de collecter toutes les données qu’ils peuvent et uniquement après de faire le tri entre ceux qui étaient américaines et ceux qui ne l’étaient pas. Cela marquait la fin de la nécessité d’obtenir un mandat pour obtenir les données précises d’une activité pour une personne ou un groupe de personnes, le remplaçant par une autorisation annuelle pour la collecte massive de données. Il y a depuis 1978 une cour spéciale secrète appelée « Foreign Intelligence Surveillance Court » (FISC) qui approuve non plus les mandats individuels mais les procédures pour obtenir les données (les méthodes sans spécifier les détails).

En 2008, juste avant qu’Obama soit élu, est votée la loi dont je veux parler est la FISA Amendment Act (FISAAA) 1881A qui couvre l’intelligence extérieure (seulement les personnes en dehors des USA) et donc le reste du monde. Il donne l’autorisation pour un an et renforce le fait que toutes les données peuvent être collectées d’abord puis de filtrer celles qui proviennent des américains (pour ne conserver que les autres). Les compagnies de Télécommunications doivent fournir les moyens de faire cela en toute confidentialité et si elles ne coopèrent pas elles peuvent se voir infligé un «contempt » de la FISC (la cour suprême). Et bien évidemment elle dissuade aussi toute velléité de poursuites civiles liée à cette activité. Et tout ceci doit être fait dans le respect du 4ème amendement

Qu’est-ce que recouvre la collecte des informations de l’intelligence extérieure ? Tous les pays. La France et l’Angleterre ont des lois sur la surveillance de masse qui recouvre la sécurité nationale et les activités criminelles (sabotage, terrorisme, blanchiment d’argent) mais il y un détail très intéressant dans la deuxième partie : « cela peut être une donnée interceptée en respectant les lois en vigueur du pays en question ou dans un pays tiers si cela concerne les affaires étrangères des USA ». Ce qui recouvre à peu près tout depuis les recherches d’un journaliste, aux activités d’une entreprise en passant par des activistes politiques (même sans carte de Parti), si cela est d’intérêt pour la politique étrangère US. Cette définition est dans la loi américaine depuis 1978. Mais ce que 1881A a fait est qu’il a combiné 3 éléments ensemble : la première est de viser des non américains en dehors des USA mais le deuxième, que personne n’a noté dans la complexité de la définition, est qu’avant cela ne valait que pour les compagnies de télécommunication, en d’autres mots intercepter des données transmises sur le câble. Mais il y inclut dorénavant les services informatiques distants, ce que nous appellerions aujourd’hui le Cloud Computing. Mais personne ne le remarqua à l’époque. La conséquence est que si vous pensez que vos données sont protégées par un cryptage SSL de votre ordinateur au Cloud de Google ou Facebook, cela ne fait rien car cette partie donne accès légalement d’aller collecter vos données, après décryptage, directement dans le datacenter et d’y prendre toutes les données qui y sont contenues. Cela n’était pas possible avant. Enfin troisièmement on peut surveiller les données politiques (rien à voir avec la criminalité ou la sécurité nationale). Cet article est construit de manière à pouvoir faire de la surveillance de masse du Cloud Computing.

Au cours des dernières années dans des conférences sur la dataprotection des élus américains ont clairement dit que la loi américaine protège très bien la vie privée avec le 4ème amendement « Le droit des citoyens d'être garantis dans leurs personne, domicile, papiers et effets, contre les perquisitions et saisies non motivées ne sera pas violé, et aucun mandat ne sera délivré, si ce n'est sur présomption sérieuse, corroborée par serment ou affirmation, ni sans qu'il décrive particulièrement le lieu à fouiller et les personnes ou les choses à saisir». C’est surprenant mais il n’y avait rien dans la constitution américaine qui limite ce droit aux américains. Ce n’est qu’en 1990 que la Cour Suprême délibère que cela ne s’applique pas pour les non américains ou en dehors des USA. D’autres détails sont apparus au cours du temps qui montrent qu’en fait cela ne s’applique pas du tout : si nous sommes ici et que nous utilisions du Cloud Computing Américain, ou que cela entre dans le cadre de la législation, le 4ème amendement ne s’applique pas à nos données ni ne fournit aucune protection. Dans la vidéo que vous voyez un membre du congrès du Texas, un conservateur, questionne deux membres éminents d’organisations pour la protection des droits civils ; jameel Jaffer d’ACLU et marc Rotenberg d’Epic. Il leur demande pourquoi ils poussent le congrès à examiner en profondeur cette loi sur l’aspect de l’impact réel pour les américains; car ils n’étaient pas satisfaits des effets pouvant découler de l’application de cette loi. Puis il leur demande s’ils ont des requêtes concernant les non américains et le reste du monde, et bien que ce soit d’ardents défenseurs des libertés publiques et de la vie privée, il est impossible de rallier l’opinion publique américaine sur le fait que cela soit également mal de le faire au reste du monde. C’est politiquement impossible. Ils ont donc dû répondre « non, juste l’impact sur les citoyens américains ».

Durant les trois ou quatre dernières années, il y a eu une campagne marketing de Microsoft et Google ainsi que toutes les autres compagnies disant « le Cloud c’est merveilleux tout est protégé par la loi, ne vous inquiétez pas et profitez-en ». Mais si l’on regarde les différents rapports en bas de l’image, faits par diverses instituions à différents moments, ils rassurent tous en utilisant cet argument : que la loi américaine donne une bonne protection aux américains vivant aux USA et même une meilleure protection que les citoyens européens sous la loi européenne en Europe et donc qu'il n'y a aucun problème. Vous pouvez voir le problème avec cet argument. Aucun de ces rapports ne mentionnent même FISAAA. Vous pouvez prendre 150 opinions des autorités de dataprotection, jamais ils ne mentionnent 9/11, la surveillance de masse ou FISAAA. Et même le plus éminent sur la dataprotection en Europe : le Contrôleur européen de la protection des données Peter Hustinx qui régit sur ce qui est légal (ou pas) de faire avec les données en Europe semble approuver le transfert de données dans le Cloud et la simplification (discours de 2010).

Est-ce que la surveillance de masse du Cloud est un vrai risque ou un fantasme ? Crypter les données ne les protèges que sur le câble de votre PC jusqu’au datacenter. Il existe différents types de Cloud dont le plus prometteur pour le futur est appelé « Plateforms as a Service (Paas) » et dont le langage de programmation préférentiel est « a Dupe ». Ce qu’il fait est qu’il programme des architectures de manière indépendante, de façon à ce que le programme puisse s’étendre de manière élastique instantanément sur des milliers de processeurs s’il y a une demande pour cela et lorsqu’elle disparait le programme revient à sa forme initiale. Ce qui est très attractif pour écrire des programmes sur le PaaS car vous n’avez pas à vous souciez de réécrire vos systèmes ni de l’augmentation de la demande (pas d’appel des datacenters à propos de vos serveurs qui ne suivent plus lorsque la demande augmente). Et si vous vouliez avoir cela en hardware vous devriez avoir des centaines de « DPI box » en stand-by pour pouvoir intercepter les données lorsque les flux augmentent ; ce qui est très cher et inefficient. Donc dans le futur si les gouvernements veulent vraiment faire de la surveillance de masse dans le Cloud ils devront persuader Microsoft et Google de le faire dans les softwares, dans un sous-programme qui collecte des données avec en dessous un peu de code qui scan des données, collecte et transfère les données d’intérêts établies d’après le 1881A. En fait, il est déjà en développement dans l’Institut Européen des Standards de Télécommunications qui a fait depuis des années les standards pour les écoutes téléphoniques. Ils ont un projet pour un service d’interception légale comme un service normal, utilisant la puissance du Cloud pour écouter le Cloud. C’est donc une idée qui existe bel et bien.

Ceci est un exemple d’une lettre de sécurité nationale faite sous le Patriot Act pour la requête d’obtention de données de Mr Nick Merill qui a du se taire pendant 7 ans et il a dû se battre pour avoir le droit de le dire ne serait-ce qu’à son avocat. Maintenant cette image n’est pas une requête mais un diagramme d’ACOU de 2006 de ce qui était connu sur l’interception de masse faite par les télécommunications. En bas à gauche, selon Mark Klein, il y a des indications que cela n’était pas juste à San Francisco mais fait partout aux USA par les grands centres de commutation des systèmes mobiles donnant des données à la NSA. Ce qui est curieux est que lorsque les autorités légifèrent sur les problèmes de la dataprotection est qu’ils fonctionnent toujours selon le paradigme de la requête et non sur la surveillance de masse, comme s’il y avait encore des mandats sur papier et ils ne semblent pas comprendre ou inclure dans leur raisonnement cet état de fait ni le principe d’une autorisation générale accordée par le gouvernement.

Le lanceur d’alerte Bill Binney était en train de construire le top en matière de surveillance de masse pour la NSA aux alentours de 9/11 et c’est intéressant parce que pendant ce temps je travaillais sur la législation Anglaise de droit civil sur ce sujet, avant de rejoindre Microsoft, en détaillant tout ce qu’énonçait la loi actuelle sur ce point et en imaginant celle qui devrait être ajoutée pour s’en prévenir. Lorsque Binney en parle publiquement (en vidéo) lors d’une conférence de Hackers On Planet Earth (HOPE), en 2012, il était en train de construire un système proche de ce que j’imaginais. Il travaillait sur Thin Thread qui collecte les méta-données et le trafic en masse et ce même avant 9/11 mais c’était élégant car il ne capturait pas toutes les données de tout le monde tout le temps juste les personnes qui étaient associées à un ou deux crans de celles « d’intérêts » pour les agences de renseignement. C’était parcimonieux. Il y raconte une histoire fascinante sur le fait que le projet a été annulé car il fonctionnait trop bien et pour très peu d’argent et donc la NSA a préféré Trail Blazer qui fonctionnait sur toutes les données tout le temps mais qui se révéla être un échec coûteux. Mais avant cela, il y a 10 ans, nous n’avions jamais eu de lanceur d’alerte provenant de l’intérieur et fournissant autant de détails que Mr Binney.

Sur la protection des données Européennes, il y a plusieurs façon d’envoyer légalement les données aux USA (ou à d’autres pays). Sans aller dans tous les détails, les autorités sur la dataprotection européenne se sont inquiétés de ce problème lié au Cloud computing dans une nouvelle loi appelée « Bindind Corporate Rules for data processors» ou BCRs. J’ai été à la conférence lorsque je travaillais pour Microsoft en 2009, et ils m’ont demandé ce que c’était (les BCRs) et je me suis dit que cela n’allait jamais marcher. Et la conclusion est que ces autorités ne souhaitent en fait ne pas prendre la responsabilité de ceci et donc faire une loi qui semble bien sur le papier et qui permet de dire « si cela ne marche pas en pratique c’est que ce cas n’a pas été prévu et donc ce n’est pas notre faute».

« La ligne Maginot dans le cyberespace », en rapport avec la surveillance de masse, d’après l’article 29 du Working Party énonce que les BCRs for processors et le cloud computing vont suffire pour se prémunir cette possibilité. Dans un document de juin 2012, à la fin ils mentionnent ce problème de captation de données en accès direct par des puissances étrangères telle que la NSA et y ont inclus une section sur comment cela pourrait être évité. Ils prennent le cas de Cuba dans les années 1990 dont les USA avaient dit que toute société prise en train de faire du commerce avec Cuba malgré l’embargo serait sanctionnée. Et la commission européenne s’était indignée en disant que ce n’était pas aux USA de leur dire avec qui ils pouvaient, ou pas, commercer et ont passé une loi qui énonce que toute société européenne est immunisée contre cela (les sanctions). Mais cela ne marchera pas pour le cas du Cloud Computing car elles ne sauront pas que cela se passe et n’auront aucune preuve. Donc l’idée que ce mécanisme légal puisse nous protéger d’activité secrète de surveillance de masse est un non-sens. Mais après plus d’un an de bataille cela fut leur meilleure idée et c’est la législation actuelle.

Les BCRs viennent d’un groupe de travail informel entre des grandes compagnies industrielles et la CNIL en 2010. Celle-ci, et je le regrette, a beaucoup fait pour que nous aboutissions à cet état de chose avec les BCRs dans la nouvelle régulation qui sera votée, sauf incident majeur. Peter Hustinx en avril 2010 aborde le sujet de comment peut-on utiliser cette loi pour le Cloud Computing devant le plus gros lobby américain, la Business Software Alliance. En fait, le besoin de changement de régulation est venu du fait que Google, Apple, Microsoft, … payent très peu d’impôts aux pays européens car elles sont toutes en Irlande là où l'IS est très bas. Et si vous essayez de mixer des montages législatifs sur les taxes avec des lois concernant la protection des données cela donne des usines à gaz extrêmement complexes à faire pour des avocats. Donc cette nouvelle législation a dû être simplifiée pour pouvoir être faite par les avocats en abandonnant l’aspect protection. En janvier 2012, le projet de la nouvelle loi sur la régulation du Cloud Computing fait par la commission a été rendu public et y est écrit que le BCR est suffisant et qu'ainsi toutes les données seront protégées par l’UE.

Comment ça marche ? C’est en fait un tour de magie, abracadbra ! Tout d’abord Microsoft, Google, Facebook, … obtiennent le certificat BCR puis toutes les autorités de dataprotection européennes doivent l’accepter et bang ! Toutes les données vont légalement aux USA. Et ainsi avec un tour de main la question de la surveillance de masse disparait.

La CNIL et l’article 29 disent qu’il devra y avoir (pour Microsoft, Google, ..) un audit de sécurité pour obtenir le certificat BCR, ce qui est bien. Mais en fait cela concernera uniquement les menaces extérieures comme les hackers ou la perte de données mais le paradigme d’interception légale de la sécurité nationale ne fait pas parti de cet audit. De toute manière même si un auditeur privé (essentiellement américain) va dans un datacenter et dit « tiens, cette boite à l’air intéressante, a quoi sert-elle ? » « C’est pour la NSA, secret défense »; ils ne peuvent pas en parler. De plus cet article pourrait (ou non) aisément comprendre un amendement pour que l’audit tienne compte de la législation internationale sur la sécurité des données. On pourrait croire que ce sujet est important mais la commission répond « peut être et peut être pas » et que ce n’est pas le genre de chose qu’un auditeur peut détecter et/ou en parler. En fait c’est même pire, car si on va dans le détail, si une requête pour un accès direct aux données arrive, vous n’avez pas le droit de l'autoriser sauf si la loi vous y oblige. Et même si cela est fait en secret, il n’y a pas de problème. C’est un simple truc des législateurs. Vous ne devez surtout pas faire cela sauf n’avez pas le choix alors là c’est bon.

On a parlé d’un « Umbrella agreement » entre les USA et l’UE portant sur tous les cas de surveillance et de transmission de données; lorsqu’en 2006 les USA ont demandé l’accès direct aux données des passagers à bord des avions (« PNR data »). L’UE a finalement dû se plier à ces exigences (et il y a là encore matière à toute une conférence). Mais le dialogue diplomatique sur le sujet était né. L’admirable ONG Statewatch (UK) a obtenu des leaks de ce projet umbrella en 2011 et la position des USA est que cette loi ne peut s’appliquer sur des données d’une personne privée émanant de l’UE vers une personne privée aux USA comme c’est le cas dans le Cloud Computing. Une personne (physique ou morale) européenne (comme un datacenter par exemple) va transférer des données vers des services privés de Cloud US. Et donc cela ne fournira aucune protection contre les risques évoqués au cours de cette conférence.

Ce fut très frustrant d’essayé de publier cela dans les journaux de Grande Bretagne, j’ai réussi à en avoir en Allemagne et dans la presse spécialisée Française mais rien qui attire l’attention. Mais cette histoire, grâce au professeur Didier Bigo que je connais, a pu être publiée dans la presse (sur Slate) après qu’il m’ait invité à écrire une partie d’un rapport commandé par Bruxelles sur ce sujet pour le parlement européen (« Fighting cyber crime and protecting privacy in the cloud »). Le parlement européen souhaitait au départ un rapport pour attirer l’attention sur le problème des cyber-crimes et pouvoir après durcir les lois, mais au final ce qui a été remis évoquait plus la partie sur la protection de la vie privée liée à ce problème. Il a été publié, et comme souvent rien ne s’est passé, aucune couverture médiatique et personne ne l’a lu sur le site du parlement européen, ce qui m’a beaucoup énervé. Entre décembre (noël) et janvier (nouvel an) 2012-2013, quand tout le monde est en vacance, le congrès débattait du fait de renouveler ou non la loi FISA. Je regardais cela sur C SPAN grâce à internet et je me décidais alors par irritation à faire appel à tous mes contacts journalistiques. Et un journaliste irlandais travaillant sur Slate aux USA fini par le mettre sur son blog avec un article extrêmement précis de 800 mots.

Après la parution sur le blog du journaliste, quelques médias ont commencé à en parler. Il est ironique qu’un blog américain publie un article que j’ai essayé de donner à la presse européenne depuis plus d’un an. Je reçu plus de 1500 tweets qui disaient « à quoi sert la loi européenne sur la dataprotection si elle ne nous protège pas de ce genre de chose ». Sur le blog américains les réactions furent plus cynique de l’ordre « oh les européens sont contrariés mais qui va nous en empêcher ? »

Pour résumer la « Cloudveillance » est sur toutes les données européennes, et crypter ne sert à rien. Alors qu’avec Echelon on pouvait s’en protéger avec le cryptage. De plus les plans marketings de Microsoft d’il y a 3 ans dont le but étaient d’obtenir tous les contrats sur le stockage des données (gouvernement, armée, entreprises, …) et de les mettre dans le Cloud, car il est 10 fois moins cher. Et donc de les faire tomber sous le coup de la juridiction américaine et ainsi pouvoir faire de la surveillance de masse légale. Je ne sais pas si les câbles de Microsoft ou Google sont surveillés mais s’ils ne le sont pas depuis les cinq dernières années, ils le seront dans les cinq prochaines années.

Enfin, la loi européenne (surtout celles sur la surveillance pour la sécurité nationale) ne permet pas de discriminer selon la nationalité les droits applicables à la protection de données. Et d’ailleurs la convention européenne des droits de l’homme ne le permet pas quel que soit le sujet, c’est inconcevable. Contrairement aux USA où depuis 1978 avec la loi FISAAA il y a une double discrimination (américains ou non, vivant aux USA ou non). Si vous êtes américains l’article 1881A (de la Foreign Intelligence Information) se lit « uniquement les données nécessaires à la poursuite de la politique étrangère américaine ». Et la commission ainsi que les organismes de protection européens semblent être complices de ce système.

En vous remerciant de votre attention, Caspar Bowden, caspar@PrivacyStrategy.eu

Traduction (et fautes) d' @ayunkel

NB: Caspar Bowden is an independent advocate for information self-determination rights, and public understanding of privacy research in computer science. He is a specialist in data protection policy, EU and US surveillance law, PET research, identity management, and information ethics and philosophy. For nine years he was Chief Privacy Adviser for Microsoft Europe, and four years director of the think-tank the Foundation for Information Policy Research (www.fipr.org). He was an expert adviser to the UK Parliament on privacy and surveillance legislation, and co-organized six public conferences on encryption, data retention, and interception policy. He has previous careers in financial engineering and risk management, applied cryptography, software engineering in systems programming and 3D games, including work with Goldman Sachs, Microsoft Consulting Services, Island Games, Acorn, Research Machines, and IBM. He is a fellow of the British Computer Society, a member of the advisory bodies of several civil society associations.

La discussion continue ailleurs