Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Retrouvez le contenu du décret signé par Donald Trump ordonnant aux services de Cloud américains de conserver les dossiers complets de leurs clients étrangers
©SAUL LOEB / AFP

Etats-Unis

Retrouvez le contenu du décret signé par Donald Trump ordonnant aux services de Cloud américains de conserver les dossiers complets de leurs clients étrangers

Avant de quitter la Maison-Blanche, Donald Trump a signé un ultime décret ordonnant aux services de Cloud américains de conserver les dossiers complets de leurs clients étrangers. Retrouvez le contenu de ce décret.

Voici très exactement le contenu du décret présidentiel. Sa lecture en clair est particulièrement instructive (Source : Maison-Blanche) :

- Section 1. Vérification de l'identité. Dans les 180 jours suivant la date de la présente ordonnance, le secrétaire au commerce proposera, pour avis et commentaires, des règlements qui obligent les fournisseurs américains d'IaaS à vérifier l'identité d'une personne étrangère qui obtient un compte. Ces réglementations doivent, au minimum :

(a) énoncer les normes minimales que les prestataires américains de services d'investissement doivent adopter pour vérifier l'identité d'une personne étrangère dans le cadre de l'ouverture d'un compte ou de la gestion d'un compte existant, y compris

(i) les types de documents et de procédures requis pour vérifier l'identité de toute personne étrangère agissant en tant que locataire ou sous-locataire de ces produits ou services ;

(ii) les dossiers que les fournisseurs américains de services d'investissement doivent conserver en toute sécurité concernant une personne étrangère qui obtient un compte, y compris les informations établissant :

(A) l'identité de cette personne étrangère et les informations la concernant, y compris son nom, son numéro d'identification national et son adresse ;

(B) les moyens et la source de paiement (y compris toute institution financière associée et d'autres identifiants tels que le numéro de carte de crédit, le numéro de compte, l'identifiant du client, les identifiants de transaction, ou l'identifiant du portefeuille de monnaie virtuelle ou de l'adresse du portefeuille) ;

(C) l'adresse de courrier électronique et les coordonnées téléphoniques, utilisées pour vérifier l'identité d'une personne étrangère ; et

(D) les adresses de protocole Internet utilisées pour l'accès ou l'administration et la date et l'heure de chacun de ces accès ou de chacune de ces actions administratives, liées à la vérification permanente de la propriété de ce compte par cette personne étrangère ; et

(iii) les méthodes permettant de limiter tout accès de tiers aux informations décrites dans le présent paragraphe, sauf dans la mesure où cet accès est par ailleurs conforme à la présente ordonnance et autorisé par le droit applicable ;

(b) prendre en considération le type de compte tenu par les fournisseurs américains d'IaaS, les méthodes d'ouverture d'un compte et les types d'informations d'identification disponibles pour atteindre les objectifs d'identification des cyber-acteurs malveillants étrangers utilisant de tels produits et éviter d'imposer une charge excessive à ces fournisseurs ; et

(c) permettre au Secrétaire, conformément aux normes et procédures qu'il peut définir et en consultation avec le Secrétaire à la Défense, le procureur général, le Secrétaire à la Sécurité intérieure et le directeur du renseignement national, d'exempter tout fournisseur d'IaaS des États-Unis, ou tout type spécifique de compte ou de locataire, des exigences de toute réglementation émise en vertu de la présente section. Ces normes et procédures peuvent inclure la constatation par le Secrétaire qu'un fournisseur, un compte ou un locataire respecte les meilleures pratiques de sécurité afin de dissuader l'abus des produits IaaS.

- Section 2. Mesures spéciales pour certaines juridictions étrangères ou personnes étrangères. (a) Dans les 180 jours suivant la date de la présente ordonnance, le Secrétaire proposera pour avis et commentaires des règlements qui exigent que les fournisseurs américains d'IaaS prennent l'une des mesures spéciales décrites au paragraphe (d) de la présente section si le Secrétaire, en consultation avec le Secrétaire d'État, le Secrétaire au Trésor, le Secrétaire à la Défense, le procureur général, le Secrétaire à la Sécurité intérieure, le directeur du renseignement national et, comme le Secrétaire le juge approprié, les chefs d'autres départements et agences exécutives (agences), le constate :

(i) qu'il existe des motifs raisonnables de conclure qu'une juridiction étrangère compte un nombre significatif de personnes étrangères offrant des produits IaaS des États-Unis qui sont utilisés pour des activités cybernétiques malveillantes ou un nombre significatif de personnes étrangères obtenant directement des produits IaaS des États-Unis pour les utiliser dans des activités cybernétiques malveillantes, conformément à la sous-section (b) de la présente section ; ou

(ii) qu'il existe des motifs raisonnables de conclure qu'une personne étrangère a établi un comportement consistant à offrir des produits IaaS des États-Unis qui sont utilisés pour des activités cybernétiques malveillantes ou à obtenir directement des produits IaaS des États-Unis pour les utiliser dans des activités cybernétiques malveillantes.

(b) En faisant des constatations en vertu de la sous-section (a) de cette section sur l'utilisation des produits IaaS des États-Unis dans des activités cybernétiques malveillantes, le Secrétaire doit considérer toute information que le Secrétaire juge pertinente, ainsi que les informations relatives aux facteurs suivants :

(i) Les facteurs liés à une juridiction étrangère particulière, y compris :

(A) la preuve que des cyber-acteurs malveillants étrangers ont obtenu des produits IaaS des États-Unis auprès de personnes offrant des produits IaaS des États-Unis dans cette juridiction étrangère, y compris si ces acteurs ont obtenu ces produits IaaS par le biais de comptes de revendeurs ;

(B) la mesure dans laquelle cette juridiction étrangère est une source d'activités cybernétiques malveillantes ; et

(C) si les États-Unis ont conclu un traité d'entraide judiciaire avec cette juridiction étrangère, et l'expérience des agents de la force publique et des responsables de la réglementation des États-Unis en matière d'obtention d'informations sur les activités impliquant des produits IaaS des États-Unis provenant de cette juridiction étrangère ou transitant par elle ; et

(ii) Les facteurs liés à une personne étrangère particulière, y compris :

(A) la mesure dans laquelle une personne étrangère utilise les produits IaaS des États-Unis pour mener, faciliter ou promouvoir des activités cybernétiques malveillantes ;

(B) la mesure dans laquelle les produits IaaS des États-Unis offerts par une personne étrangère sont utilisés pour faciliter ou promouvoir des activités cybernétiques malveillantes ;

(C) la mesure dans laquelle les produits IaaS des États-Unis offerts par une personne étrangère sont utilisés à des fins commerciales légitimes dans la juridiction ; et

(D) la mesure dans laquelle des actions autres que l'imposition de mesures spéciales conformément à la sous-section (d) de la présente section sont suffisantes, en ce qui concerne les transactions impliquant la personne étrangère offrant des produits IaaS des États-Unis, pour se prémunir contre les activités malveillantes sur Internet.

(c) Le Secrétaire doit prendre en considération la ou les mesures spéciales à prendre en vertu de la présente section :

(i) si l'imposition d'une mesure spéciale créerait un désavantage concurrentiel important, y compris tout coût ou charge indu lié à la mise en conformité, pour les fournisseurs américains d'IaaS ;

ii) la mesure dans laquelle l'imposition d'une mesure spéciale ou le moment choisi pour l'imposer aurait un effet négatif important sur les activités commerciales légitimes impliquant la juridiction étrangère particulière ou la personne étrangère ; et

(iii) l'effet de toute mesure spéciale sur la sécurité nationale des États-Unis, les enquêtes des services de répression ou la politique étrangère.

(d) Les mesures spéciales visées aux paragraphes (a), (b), et (c) de la présente section sont les suivants :

(i) Interdictions ou conditions relatives aux comptes dans certaines juridictions étrangères : Le Secrétaire peut interdire ou imposer des conditions à l'ouverture ou au maintien auprès de tout fournisseur américain d'IaaS d'un compte, y compris un compte de revendeur, par toute personne étrangère située dans une juridiction étrangère dont il s'avère qu'un nombre significatif de personnes étrangères offrant des produits IaaS des États-Unis sont utilisés pour des activités cybernétiques malveillantes, ou par tout fournisseur américain d'IaaS pour ou au nom d'une personne étrangère ; et

(ii) Interdictions ou conditions imposées à certaines personnes étrangères : Le Secrétaire peut interdire ou imposer des conditions à l'ouverture ou au maintien aux États-Unis d'un compte, y compris un compte de revendeur, par tout fournisseur d'IaaS des États-Unis pour ou au nom d'une personne étrangère, si un tel compte implique une telle personne étrangère dont il s'avère qu'elle offre des produits IaaS des États-Unis utilisés dans des activités cybernétiques malveillantes ou qu'elle obtient directement des produits IaaS des États-Unis pour les utiliser dans des activités cybernétiques malveillantes.

(e) Le Secrétaire ne doit pas imposer aux fournisseurs américains d'IaaS l'obligation de prendre l'une des mesures spéciales décrites au paragraphe (d) de la présente section avant l'expiration d'un délai de 180 jours suivant la publication de la réglementation finale décrite au paragraphe 1 de la présente ordonnance.

Section 3. Recommandations pour les efforts de coopération visant à dissuader l'abus des produits IaaS des États-Unis. (a) Dans les 120 jours suivant la date de la présente ordonnance, le procureur général et le Secrétaire à la Sécurité intérieure, en coordination avec le Secrétaire et, si le procureur général et le Secrétaire à la Sécurité intérieure le jugent approprié, les responsables d'autres agences, engageront et solliciteront les réactions de l'industrie sur la manière d'accroître le partage d'informations et la collaboration entre les fournisseurs d'IaaS et entre les fournisseurs d'IaaS et les agences afin d'éclairer les recommandations visées au paragraphe (b) de la présente section.

(b) Dans les 240 jours suivant la date de la présente ordonnance, le procureur général et le Secrétaire à la Sécurité intérieure, en coordination avec le Secrétaire et, si le procureur général et le secrétaire à la sécurité intérieure le jugent approprié, les chefs d'autres agences, élaborent et soumettent au président un rapport contenant des recommandations visant à encourager :

i) le partage volontaire d'informations et la collaboration entre les fournisseurs américains d'IaaS ; et

ii) le partage d'informations entre les fournisseurs américains de services d'information et de sécurité et les organismes compétents, y compris la notification d'incidents, de crimes et d'autres menaces à la sécurité nationale, afin de prévenir tout nouveau préjudice pour les États-Unis.

(c) Le rapport et les recommandations prévus au paragraphe (b) de la présente section doivent prendre en compte les mécanismes existants pour ce partage et cette collaboration, y compris le Cybersecurity Information Sharing Act (6 U.S.C. 1503 et suivants), et doivent identifier toute lacune dans la législation, la politique ou les procédures actuelles. Le rapport doit également inclure :

(i) les informations relatives aux opérations des cyber-acteurs malveillants étrangers, les moyens par lesquels ces acteurs utilisent les produits de l'IaaS aux États-Unis, les capacités et les techniques commerciales malveillantes, et la mesure dans laquelle des personnes aux États-Unis sont compromises ou involontairement impliquées dans ces activités ;

(ii) des recommandations concernant les protections en matière de responsabilité, au-delà de celles prévues par la législation existante, qui pourraient être nécessaires pour encourager les fournisseurs américains de services Internet à partager des informations entre eux et avec le gouvernement des États-Unis ; et

(iii) des recommandations pour faciliter la détection et l'identification des comptes et des activités qui impliquent des cyber-acteurs malveillants étrangers.

Selon un commentateur, « Cela vise vraiment les fournisseurs de VPS qui permettent le paiement par Bitcoin, par exemple, et qui fournissent des points proxy pour anonymiser le trafic. Je suis sûr que cela aura un impact sur les grands acteurs d'une manière ou d'une autre, mais les petits opérateurs qui hébergent des VPS (IaaS) seront plus touchés ». Le président démocrate élu Joe Biden, qui prêtera serment ce mercredi, pourrait facilement révoquer un décret émis à l'époque de la présidence de Trump.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !