Quand le dernier décret de l'administration Trump oblige les fournisseurs de Cloud américains à jouer les espions

Atlantico.fr : Avant de quitter la Maison-Blanche, Donald Trump a signé un ultime décret ordonnant aux services de Cloud américains de conserver les dossiers complets de leurs clients étrangers. Comment motive-t-il cette décision ?

Franck DeCloquement : Paraphrasant en effet le titre d’un article de presse, « un dernier décret pour la route » pourrions-nous dire. Alors que le mandat de Donald Trump à la tête de l'administration américaine s’achevait, ce dernier a toutefois signé mardi 19 janvier, un ultime décret enjoignant les entreprises américaines spécialisées dans le Cloud computing à tenir des dossiers sur leurs clients étrangers. Et ceci, afin d'aider les autorités américaines (ainsi que les différentes centrales du renseignement américain cela va sans dire) à retrouver les personnes qui pourraient commettent des cyber-crimes ou réaliser des cyber-attaques. L’annonce, qui aurait été dans les cartons de la mandature depuis deux ans au moins, a été en réalité officialisée suite à la cyberattaque massive qui a visé en décembre dernier la plateforme Orion de l'Américain « SolarWinds ».

A ce titre, de hauts fonctionnaires et des législateurs américains ont affirmé que la Russie était en réalité responsable de cette vague inédite et sans précédent de piratage. Donald Trump avait en décembre dernier minimisé dans ses premiers commentaires cette violation massive en tentant de disculper la Russie, tout en suggérant implicitement l'implication de la Chine dans cette action. Mais le Conseil National de Sécurité (NSC) avait cependant tweeté en janvier que « Le président Trump continuait à augmenter toutes les ressources appropriées pour soutenir la réponse de l'ensemble du gouvernement au récent cyber incident qui a affecté les réseaux gouvernementaux ». En vertu de ce décret, tous les opérateurs de services « Iaas » américains – des GAFAM pour la plupart – devront désormais vérifier l’identité des clients étrangers et seront dès lors tenus de conserver des dossiers indiquant les noms, les adresses physiques et électroniques, les numéros d'identification nationaux, les moyens de paiement, les numéros de téléphone et les adresses IP utilisés pour accéder aux services, à chaque fois que ceux-ci y accèdent.

Pour l'administration Trump, il en va de la souveraineté et de la sécurité nationale des Etats-Unis : « Des acteurs étrangers utilisent les produits IaaS (d’Infrastructure as a Service) des Etats-Unis pour diverses tâches dans le cadre d'activités malveillantes sur internet, ce qui rend extrêmement difficile pour les responsables américains de suivre et d'obtenir des informations par le biais de procédures légales, avant que ces acteurs étrangers ne passent à une infrastructure de remplacement et ne détruisent les preuves de leurs activités antérieures », avait indiqué l’ex-locataire de la Maison Blanche dans une lettre adressée à la présidente de la Chambre des représentants, Nancy Pelosi, et au vice-président, Mike Pence, en sa qualité de président du Sénat.

Pour rappel auprès de nos lecteurs, le terme « IaaS » (pour « Infrastructure as a Service ») désigne en réalité tout produit ou service offert à un consommateur, y compris les offres gratuites ou « d'essai », qui fournit un traitement, un stockage, des réseaux ou d'autres ressources informatiques fondamentales avec lequel le consommateur est en mesure de déployer et d'exécuter un logiciel qu'il ne contrôle pas, et sur lequel il n'a pas la main. Y compris des systèmes d'exploitation et des applications. Ce décret offre en outre au ministère américain du commerce le pouvoir d’écrire des règles pour interdire des transactions avec des acteurs étrangers utilisant des produits ou services Cloud pour réaliser des cyber-attaques : « Ce que nous avons vu dans cet espace, c’est qu’un individu va louer des milliers de pièces de cette infrastructure à l’intérieur des États-Unis, et les revendre à des acteurs qui en abusent ensuite » a déclaré à Reuters un haut responsable de l’administration. « Cela donne au secrétaire au commerce la possibilité de dire : ‘Il n’y a aucune raison pour que vous continuiez à avoir accès aux produits de la nation’ » a ajouté ce responsable. Notant dans la foulée que ces restrictions pourraient également s’appliquer à des juridictions entières, et non pas seulement aux seuls individus ou à des organisations telles que les entreprises. L’ordonnance prestement ratifié par l’ancien président Trump impose donc au ministère américain du commerce de rédiger dans les six mois à venir les grandes orientations qui doivent déboucher sur un cadre réglementaire proposé par le ministère du commerce, pour les fournisseurs américains « d’Infrastructure as a Service » (Iaas). Et ceci, afin de vérifier l’identité des étrangers avec lesquels ils font des affaires et de conserver certains dossiers. S’il est validé par le nouveau locataire de la Maison Blanche, le texte donnerait au nouveau gouvernement américain le droit d’interdire l’utilisation de services dans le Cloud aux étrangers qui ouvrent ou maintiennent des comptes avec des entreprises américaines aux États-Unis, s'ils sont soupçonnés par ailleurs de les utiliser pour diligenter des cyber-attaques ou des activités cyber-malveillantes.

Une annonce qui déstabilise d’ores et déjà les stratégies commerciales des géants du Web et de la Tech américaine et autres leaders du Cloud, GAFAM en tête, dont Amazon Web Services, Microsoft et Google. D’autant que l’invalidation en juillet 2020 par la Cour de justice de l’Union européenne du « Privacy Shield » empêche désormais le transfert des données européennes aux Etats-Unis, ce qui avait déjà complexifié la vente de leurs services Cloud en dehors des Etats-Unis… Les derniers soubresauts en date relatifs aux nouvelles règles en matière de politique de confidentialité de WhatsApp – en lien avec Facebook – en représentent l’ultime avatar (voir à cet effet la fuite massive des abonnés de WhatsApp vers l’application Signal ou Olvid plus « safe » en matière de protection et de chiffrement des données personnelles).

En conséquence, la renégociation d’un nouvel accord entre l’UE et les Etats-Unis pourrait prendre de nombreux mois supplémentaires si la nouvelle administration Biden s’impliquait vertement dans ce dossier. Mais la confiance elle – entre l’Europe et les Etats-Unis – prendra sans aucun doute beaucoup plus de temps pour être restaurée entre les deux camps…

Que change concrètement ce décret pour les Cloud et leurs clients ?

L’emblématique cyberattaque contre la plateforme Orion de SolarWinds, dont les outils de supervision sont partout présents chez d’innombrables clients et fournisseurs, a été le déclencheur unanime d’une prise de conscience plantaire générale sur la cybersécurité de la « supply chain ». Touchant des entreprises privées aussi bien que des administrations, les attaques ont été attribuées par les autorités américaines à la Russie ou à des groupes très proches des russes. En conséquence, Trump et ses services spécialisés ont eu la volonté de briser les reins de potentiels acteurs malveillants basés à l'étranger. Ce décret fait plus précisément peser l'obligation sur les fournisseurs de Cloud de conserver des dossiers comprenant les noms, les adresses postales et électroniques, les moyens et informations de paiement, les numéros d'identification nationaux, les coordonnées téléphoniques mais aussi les adresses IP rattachées à l'utilisateur qui sollicite les services du fournisseur. Et ceci, pour chaque connexion, rappelons-le…

Il faut également comprendre que ce décret ne se limite pas qu'au « IaaS » (les produits d’Infrastructure as a Service). Et cela même si Donald Trump ne vise pourtant que les « IaaS » dans sa lettre. Il s'ouvre en réalité aussi à d'autres services d'hébergement en ligne. Ce qui comprend les offres complémentaires, d'essai, ou celles qui fournissent le traitement, le stockage, les réseaux ou d'autres ressources informatiques… (Lire le décret ici)

Selon un commentateur, « Cela vise vraiment les fournisseurs de VPS qui permettent le paiement par Bitcoin, par exemple, et qui fournissent des points proxy pour anonymiser le trafic. Je suis sûr que cela aura un impact sur les grands acteurs d'une manière ou d'une autre, mais les petits opérateurs qui hébergent des VPS (IaaS) seront plus touchés ». Le président démocrate élu Joe Biden, qui prêtera serment ce mercredi, pourrait facilement révoquer un décret émis à l'époque de la présidence de Trump.

Ce décret américain préparerait-il aussi les esprits des partenaires européens à d’autres décisions, elles beaucoup plus offensives et coercitives, en matière de captation de données étrangères ?

On peut en effet l’anticiper très sérieusement. À l’image du « Cloud Act » qui fut le cavalier législatif que l’on sait imposé par l’administration Trump, le « piège américain », rappelons-le, réside toujours dans cette mise en œuvre impeccable d’un « cadre légal ou éthique prétexte », qui est aussi toujours plus étendu et intrusif en matière d’ingérence. Deux apports récents parachèvent encore en sourdine le dispositif législatif et règlementaire des États-Unis, qui sont visiblement appelés, dans un avenir sans doute proche, à faciliter – d’une manière ou d’une autre – les opérations d’intelligence économique offensives, et de mise en défaut des entreprises étrangères. Le tout, sous couvert de la lutte contre le terrorisme, la criminalité organisée, la corruption, le blanchiment d’argent sale, mais aussi pour défendre les conditions de la sécurité nationale des Etats-Unis :

• Le HR 4943 considère par exemple l’extraterritorialité du droit américain relatif aux données hébergées à l’étranger (oversea) sur les Cloud des GAFAM  et autres fournisseurs de services SaaS  américains ;

• Le projet de loi « Lawful Access to Encrypted Data Act » (ou LAED) du 28 juin 2020 vise quant à lui à contraindre les fournisseurs de services et de matériels (CSP) soumis au droit américain à fournir l’accès aux données préalablement libres de tout chiffrement de leurs clients sur simple injonction d’un tribunal…

Résumons : dans cette hypothèse, et où que soient localisées les données gérées par des fournisseurs de services et de technologies assujettis à la loi américaine, elles seront exploitables dans les meilleurs délais. Répondant ainsi aux demandes des « Five Eyes ». Les « Cinq yeux » (dit aussi accord UK-USA, 1946) sont les cinq pays participant au programme Échelon de surveillance des télécommunications : Australie, Canada, Nouvelle-Zélande, Royaume Uni et États-Unis. Cet accord  de partage du renseignement pourrait être aussi possiblement étendu à terme à d’autres pays européens, dont la France. Mais nous n’en sommes pas encore là.

Ces demandes d’accès sont normalement accompagnées d’un « Gag Order » (Littéralement « ordre de bâillon » ou « réduire au silence » interdisant à celui qui en est l’objet de faire état, sous peine de poursuites, de la demande qui lui est faite par l’administration). Celui-ci empêche le prestataire ou fournisseur d’accès à Internet (FAI) de faire état de la demande d’accès qui lui a été faite, et donc d’informer son client que ses données ont été compromises (cette règle classique existe en France concernant les potentiels « signalements » faits par les institutions bancaires ou financières à Tracfin).

Pour rappel, le RGPD (2018) quant à lui définit les « données sensibles » mais les limitent aux données « personnelles ». C’est-à-dire des données des citoyens gérées et exploitées par les GAFAM. Or, il en est d’autres tout aussi « sensibles » mais qui ne bénéficient cependant pas de la même protection : ce sont les données exhaustives « de haut de bilan » des entreprises qui sont gérées avec des solutions de GIA américaines – pour « Gouvernance des Identités et des Accès » (Cf : SailPoint, Savyint, IBM, Oracle, ForgeRock, etc.). Certains « secrets » relevant de dispositifs de protection régaliens.

Joe Biden pourrait-il révoquer ce décret ? Ou pourrait-il au contraire le faire sien, et le mettre à profit ? 

Avec l’arrivée de Joe Biden à la présidence des Etats-Unis, la durée de vie de ce décret pourrait être en effet hypothéquée. Pour autant, Robert C. O’Brien, l’ex-conseiller à la sécurité nationale de l’administration Trump a cependant précisé dans un dernier communiqué les raisons effectives de ce texte : « Les cyber-acteurs étrangers malveillants menacent notre économie et notre sécurité nationale en volant la propriété intellectuelle et les données sensibles, et en ciblant les infrastructures critiques des États-Unis. » Et de poursuivre dans la foulée en insistant très lourdement sur l’attaque SolarWinds : « L'abus des services américains d'infrastructures – tel que ceux offerts par des entreprises de Cloud-computing comme Amazon Web Services et Microsoft Azure – a joué un rôle dans les cybers incidents qui se sont déroulés au cours des quatre dernières années : y compris les intrusions chez FireEye et SolarWinds.

S’agit-il d’un caillou de plus dans la chaussure de Joe Biden ?Nous ne le pensons pas : pour le nouveau pensionnaire de la Maison-blanche, les revendeurs américains de services Cloud permettent aux acteurs étrangers d'échapper à la détection. La décision de Donald Trump donne en outre au ministre du Commerce la possibilité non négligeable de restreindre l'accès aux services américains de Cloud-computing – si un pays est réputé avoir « un nombre significatif de personnes étrangères offrant des produits « IaaS » américains qui sont utilisés pour des activités cybernétiques malveillantes » – ou encore de limiter très largement l'accès de certains étrangers. Comme nous l’indiquions déjà plus haut dans notre narration, en l’état,etsi le décret reste en vigueur, les entreprises du Cloud disposent de 6 mois (180 jours) pour attester de la tenue de registres comportant les données des utilisateurs. Un peu avant, dans 120 jours, le gouvernement américain devra se concerter sur la manière d'accroître le partage d'informations entre les fournisseurs de Cloud-computing eux-mêmes, ainsi qu'avec le gouvernement des Etats-Unis. Et ceci, dans le but de décourager l'utilisation abusive des produits « IaaS » américains.L'administration américaine devra en outre discuter de la façon d'augmenter le partage d'informations entre les fournisseurs de Cloud et les autorités du pays. L'idée première restant, de toute évidence, de dissuader toute utilisation abusive des solutions IaaS d’origine américaine.

Dans les 240 jours suivants, un rapport ainsi que des recommandations spécifiques seront alors présentés au nouveau président des Etats-Unis, Joe Biden afin qu’il puisse les consulter. A l’identique de ses nombreux prédécesseurs, gageons qu’il saura les mettre lui aussi à profit pour la défense prioritaire des intérêts américains, bien avant toutes autres formes de considérations. Et à ce titre, comme le rappelait dernièrement une lettre confidentielle bien connue des spécialistes, le nouveau bureau de cyber-influence voulu – le 7 janvier dernier – par l’ancien secrétaire d'Etat américain de Donald Trump, Mike Pompeo, va devoir s'inscrire dans le millefeuille de Washington déjà dédié à promouvoir les intérêts cybers américains. Paraphrasant cette publication spécialisée, il s’agirait au demeurant d’une nouvelle étape dans le projet de réorganisation globale de la « cyber-diplomatie » américaine en approuvant la création d'un bureau dédié, le CSET ou « Cyberspace Security and Emerging Technologies Bureau ». Ce nouvel organe du Département d'Etat (DoS), dont la création avait été notifiée au Congrès dès juin 2019, sera placé sous la supervision de « l'Under Secretary for Arms Control and International Security » (USACIS). Ce dernier dispose d’ores et déjà d'une conseillère sur les questions cybers et de nouvelles technologies : son ancien chef de cabinet, Maureen Tucker. Le « CSET » absorberait les personnels de « l'Oice of Emerging Security Challenges » (OESC) et surtout ceux de « l'Office of the Coordinator for Cyber Issues » (S/CCI), le principal organe actuellement de la cyber-diplomatie du Département d'Etat (Department of State) et qui devrait constituer le véritable cœur de ce nouveau bureau. Comme pour le S/CCI, le but véritable but du « CSET » sera de porter les intérêts américains auprès des Etats étrangers (et européens en l’occurrence), sur les dossiers sensibles et aussi stratégiques que ceux entourant Huawei, la compétition sur la 5G, la construction des normes cyber... De ce fait, le « Cyberspace Security and Emerging Technologies Bureau » devrait en toute logique hériter du très fort tropisme chinois de « l'Office of the Coordinator for Cyber Issues », dont la majorité des membres sont issus de la division Asie-Pacifique du Département d'Etat. Les spécialistes de la Russie – à qui est attribuée la cyberattaque d'ampleur découverte en décembre visant les institutions américaines comme nous l’indiquions plus haut – sont quant à eux réduit à la portion congrue. En matière de cybers-normes internationales, l'adversaire systémique des Etats-Unis est clairement perçu comme étant la Chine. Le CSET ne devrait toutefois pas se contenter d'agréger des effectifs préexistants du Département d’Etat. Et selon toute vraisemblance le nombre de cybers diplomates américains devrait plus que doubler. Tout ce déploiement suit en réalité les recommandations de la « Cyberspace Solarium Commission » (CSC), qui préconisait il y a quelques mois d'investir dans la « cyber-diplomatie » pour ne pas concéder de terrain à la Chine, à la Russie ou encore à l’Europe... Pour mémoire, le Congrès avait chargé en 2018 le CSC de définir à cet effet une stratégie de cyberdéfense afin d'éviter qu’un Pearl Harbor numérique ne survienne un jour. En outre, les services spécialisés d'autres pays ont été consultés, et notamment le ministère de la défense et l'Information System Authority (ISA) de l'Estonie (l'un des pays de l'OTAN les plus en pointe sur le dossier), mais aussi les services des plus proches alliés de Washington, comme le GCHQ et le National Cyber Security Centre (NCSC) britanniques, l'Israel National Cyber Directorate (INSD) ou encore l'ambassade néerlandaise. Du fruit de ces échanges a émergé le concept de « cyber-dissuasion par couches » (ou « layered cyber deterrence »), à savoir : la diplomatie, la résilience et le maintien de capacités de représailles.

En définitive, le CSET aura la charge de coordonner les questions de cybersécurité, de sécurité des technologies émergentes ainsi que de travailler avec les autres agences américaines de sécurité nationale, dont beaucoup ont déjà mis en place leur propre cyber diplomatie. Et notamment la NSA (National Security Agency). L'agence de renseignement technique avait ainsi annoncé le 29 septembre 2020 la création d'un bureau chargé d'influencer l'élaboration de normes nationales et internationales en matière de cybersécurité. La NSA est d'ailleurs bien représentée actuellement au sein du S/CCI, où elle dispose d'un détachement spécifique. Si la création du « Cyberspace Security and Emerging Technologies Bureau » est actée, il reste à savoir si le futur secrétaire d'Etat Antony Blinken héritera d'un bureau déjà bien établi ou d'une coquille vide, ce qui pourrait permettre à l'administration Biden de le remodeler à sa guise. Or, le CSET est controversé puisque cantonné aux seuls aspects sécuritaires, alors que le Congrès le voudrait étendu à tous les sujets du cyberespace.