Tribune : Megaupload ou les nouveaux dangers du Cloud Computing

La légitimité de l’action menée par une industrie qui dit représenter les tenants des droits d’auteur, que nous requalifieront plutôt de droits de l’éditeur, contre les pratiques laxistes d’un hébergeur de données qui privilégiait les recettes publicitaires à la légalité de son contenu, n’est pas à remettre en cause. En revanche, la forme de l’action menée contre Megaupload par les autorités américaines soulève aujourd’hui de nouveaux questionnements et devrait interpeller toutes les DSI qui se laissent séduire par les attraits du Cloud Computing.

Rappelons tout d’abord certains faits : le cloud est une approche de l’informatique qui consiste à disposer de services déportés, s’appuyant sur une infrastructure accessible via le réseau des réseaux. L’infrastructure elle-même est généralement maitrisée, tout comme la connexion des postes de travail, même si la mobilité appelle à de nouveaux usages sécuritaires. L’adaptation des applicatifs aux technologies d’échange et de partage se fait sans heurts. Mieux encore, la centralisation et l’administration des moyens déployés augmente sensiblement le niveau de sécurité auquel accède l’entreprise. Du coté de la technologie, tout va bien…

Immatériel juridico géopolitique

Mais qu’en est-il des aspects immatériels associés au Cloud Computing ? Les éditeurs, plus que leurs clients, ont été les premiers à s’en préoccuper. L’entreprise attend de ses prestataires que ses données soient sécurisées et demeurent accessibles. Naturellement, c’est vers le troisième larron que l’on va se retourner, l’hébergeur. Les éditeurs, donc, sont entrés dans une phase délicate pour assurer la qualité de service attendue par leurs clients : la contractualisation. Verrouiller le lien juridique qui lie l’éditeur et l’entreprise à l’hébergeur est un acte majeur destiné à protéger les uns et rassurer les autres, quand ce ne sont pas les mêmes.

Mais la contractualisation est une chose complexe. Les métiers, donc les priorités de chacun diffèrent. Plus encore, la dématérialisation de l’information et de son traitement crée de nouvelles problématiques. La dispersion géographique de l’infrastructure, par exemple, vient se heurter de front à l’arsenal juridique des nations. La donnée peut être hébergée dans des contrées dont l’environnement juridique peut être soit contraignant, soit au contraire inexistant – et l’on peut se demander ce qui est le mieux ? -, en tout cas différent de celui que maitrise le client. Et à cette diversité vient s’ajouter l’arsenal répressif dont disposent les pouvoir en place…

Quand le judiciaire prend la main sur le nuage

L’affaire Megaupload est ici exemplaire d’un danger que nous avions peu mesuré jusqu’à présent mais qui risque de fortement peser sur la stratégie des entreprises pour se déployer dans le nuage ! Un obscure juge de Virginie, entendant la (com)plainte d’une industrie, et s’appuyant sur le pouvoir politique discrétionnaire d’un pays prétentieux au point de donner des leçons au monde, a pu d’un simple jugement faire tomber un service mondial certes condamnable, mais dont une partie de l’activité était tout à fait légale, et qui surtout pour la grande majorité de son activité ne relevait pas du pouvoir judiciaire qui l’a condamné !

De cette expérience, les entreprises qui s’abonnent à un service cloud doivent désormais intégrer dans leur démarche deux nouveaux dangers qui guettent leur stratégie : le judiciaire et le géopolitique. Le risque judiciaire n’est certes pas nouveau, mais il était jusqu’ici géographiquement circonscrit. Megaupload démontre qu’un pouvoir judiciaire très éloigné, pour une affaire sans lien avec l’entreprise, peut simplement faire tomber une infrastructure qui peut être vitale. Le résultat peut se révéler pour le moins vicieux, la condamnation de Megaupload aux Etats-Unis n’a pas touché l’infrastructure du service en place, le FBI s’est contenté de faire disparaître les portes d’accès ! Les pages du service ne sont plus accessibles…

Dans la foulée, les hébergeurs des données de Megaupload se sont sentis dégagés de leurs obligations contractuelles avec le portail de stockage et de téléchargement, une vision confirmée par les autorités américaines, et se lancent aujourd’hui dans la destruction des données stockées afin pour récupérer les espaces ainsi rendus disponibles. Les seules vraies victimes, dans cette affaire, ce sont les clients en règle de Megaupload, qui ont payé le service de stockage externe de données, et qui ont tout perdu. Un coup de pouce des autorités américaines et le château de carte virtuel s’est effondré, dans le monde entier !

Une victime, le consommateur, une menace, le cloud

Dans cette affaire, il n’y a qu’une victime : le consommateur qui respecte la légalité. Les dirigeants de Megaupload ont contrevenu aux lois en vigueur, la sentence était inévitable. Les majors américaines ont frappé un grand coup, largement en dehors de leur zone de juridiction, et rappelé leur puissance et leur influence… Mais six arrestations ne changeront rien à une industrie mafieuse qui sait où est son intérêt. L’industrie du stockage et du téléchargement en ligne se frotte les mains, le business continue et les concurrents de Megaupload se partagent les beaux restes du gâteau. Les pirates du quotidien, qui téléchargent illégalement des fichiers soumis à des droits commerciaux, se sont tournés vers d’autres services de téléchargement qui continuent de proposer illégalement les mêmes films, séries, jeux vidéo, musiques, etc., piratés.

Mais la principale victime de cette affaire pourrait bien être le Cloud Computing lui même. Le risque juridique a démontré ici sa capacité à faire tomber des montages complexes où les technologies se croisent, le professionnel et le grand public se confondent, les réseaux s’appuient sur des services uniques qui échappent au contrôle des entreprises, voire des autorités autres que celle d’un pays. Les grands opérateurs auront bon affirmer qu’ils contrôlent la situation, que leurs structures sont indépendantes qu’elles sont sécurisées, une simple décision de justice peut tout faire s’effondrer sans que personne ne puisse rien y faire.

Quand le géopolitique impose ses lois

Et que dire de la tendance empruntée aujourd’hui par les grands acteurs de l’Internet et du cloud à céder aux dérives et censures de nations plus ou moins totalitaires ? Certes quand un Google, un Facebook ou un Twitter affirme qu’il respectera les règles de censure, voire parfois de délation, que lui imposent un gouvernement, il ne fait que s’assurer une place commerciale sur un gigantesque marché. Et qu’appliquer les mêmes règles que les autres entreprises qui s’y implantent, sauf que ces dernières sont moins médiatisées et donc risquent moins de s’exposer à la vindicte populaire et humanitaire.

Et les États-Unis, les gardiens du monde libre, ne font-ils pas la même chose, sous une forme différente, en disposant des outils pour surveiller tout ce qui se passe sur la toile ?

En conclusion

L’affaire Megaupload fait émerger de nouveaux risques majeurs qui pourraient peser sur le Cloud. Les risques juridiques et géopolitiques peuvent se révéler une menace majeure sur les projets, d’autant plus qu’ils peuvent s’imposer en venant de n’importe où. La protection des données de l’entreprise dans le nuage revient avec une acuité inattendue. Les entreprises qui prendront conscience du phénomène devront l’intégrer dans leur stratégie, et en particulier prévoir le déploiement d’architectures localisées pour maîtriser à la fois l’environnement juridique sous lequel elles s’exposent et l’assurance de disposer d’une proximité physique avec leurs données.