Dans un média qui se veut sérieux comme Direction informatique, il est surprenant de lire une infopub pro Amazon Web Services, déguisée en article de fond. Surtout que cette semaine, c’est la commission parlementaire qui discute justement de la possibilité de migrer les données personnelles des entreprises et citoyens québécois, sur de telles plateformes.
Je parle de l’article Avons-nous raison d’être frileux envers le cloud? Cet article est rédigé par Mark Nunnikhoven, vice-président de la recherche sur le cloud chez Trend Micro qui dit-on, serait “héros de la communauté AWS”.
L’article débute par écarter les joueurs québécois d’infonuagique en prétendant qu’ils seraient trop petits pour soumissionner en infonuagique. Pourtant, je connais Sherweb et MicroLogic qui seraient tout à fait capables d’aider l’hébergement infonuagique québécois.
Par la suite, l’auteur y va de demi-vérité. Il affirme que :
Malgré ces avantages évidents, j’entends encore des organisations brandir la menace du CLOUD act, ou d’autres mesures législatives pour justifier qu’elles ne peuvent construire dans le nuage. Il est tout à fait normal d’être réfractaire au changement et de repousser les idées nouvelles, surtout celles qui remettent en question les croyances de longue date.
Heureusement, le Commissaire à la protection de la vie privée s’est exprimé sur le sujet en déclarant que cette crainte n’est pas fondée. Si vous stockez et traitez des données canadiennes à l’extérieur du pays, votre devoir est d’informer vos utilisateurs de cette pratique. Mais comme des régions canadiennes sont disponibles depuis 2016, déplacer ces données à l’extérieur du pays ne devrait même plus faire partie de vos pratiques.
Il oublie cependant d’ajouter qu’avec le Cloud Act, c’est au fournisseur américain de défendre l’accès des données en sol Canadien si une requête de sécurité des agences américaines demandaient l’accès aux données hébergée ici. Ainsi donc, le gouvernement du Québec devrait s’en remettre à la bonne volonté et à l’expertise d’une tierce partie, en l’occurrence, le fournisseur américain, pour protéger nos données. Si on se fit à l’historique de protection des données de ces entreprises, disons qu’il y a de quoi avoir le poil qui nous retrousse sur les bras.
Ensuite, l’auteur nous parle de cryptage comme solution à une « peur non-fondée ».
Peu importe la situation, le cryptage demeure votre meilleur allié. Si vous cryptez vos données, en transit et au repos, il est impossible d’y avoir accès sans la clé de déchiffrement. Aucun fournisseur infonuagique ne vous obligera à leur remettre votre clé de déchiffrement. Vous décidez qui y a accès, et qui contrôle ces accès.
Encore une fois, par méconnaissance ou carrément par propagande commerciale, il oublie ici de dire que les fameuses clés de cryptage, sont loin d’être hermétique au gouvernement américain. En fait, le cryptage étant considérée comme étant aussi sensible que « de l’armement », aucun cryptage n’existe sans que le gouvernement n’y ait de « back door ». C’est ce que l’on nomme la « guerre de la cryptographie » ou « crypto wars » en anglais. Ainsi, comme on le note dans Wikipédia :
En 2009, les exportations de cryptographie non militaire depuis les États-Unis sont régulées par le Bureau of Industry and Security du département du Commerce 9. Certaines restrictions demeurent, même pour les produits grand public, en particulier en ce qui concerne les prétendus État voyous et les organisations terroristes. Le matériel de chiffrement militarisé, l’électronique certifiée TEMPEST, les logiciels cryptographiques spécialisés, et même les services de conseil cryptographique sont toujours soumis à licence9 (p. 6–7). De plus, l’enregistrement auprès du BIS est exigée par l’exportation de « produits de chiffrement pour le marché public, les logiciels et les composantes dont le chiffrement dépasse 64 bits » 10. D’autres éléments demandent aussi un examen par le BIS, ou une information du BIS, avant l’export dans la plupart des pays9. Par exemple, le BIS doit être informé avant la mise à disposition du public de logiciels de cryptographie open source sur Internet, encore que l’examen ne soit pas exigé 11. Ainsi, les règles à l’export se sont assouplies depuis 1996, mais restent complexes9.
D’autres pays, en particulier les parties à l’arrangement de Wassenaar 12, ont des restrictions similaires 13.
Comme quoi c’est bien beau pousser pour sa business, mais il y a des limites à peindre la réalité en rose…
Vous pourriez relire la conclusion de mon billet Les médias découvrent que BlackBerry de RIM n’est pas impénétrable, Petit réveil matinal (wake-up call)
Il est donc d’un impératif de « sécurité nationale » que les systèmes de cryptages soient limpides aux autorités gouvernementales et donc, qu’elles y ai accès. Les gouvernements étrangers vont faire des pieds et des mains pour avoir accès à tous systèmes de cryptages qui sont utilisés sur leur territoire et dont ils n’ont pas les clés. Le montréalais Austin Hill, le fondateur du défunt Zero Knowledge System a déjà été traité d’ennemi d’état parce qu’il avait développé un système de cryptographie personnelle impénétrable par les services secrets. Officiellement, son entreprise s’est redéployée pour offrir des services de sécurités aux entreprises de télécommunications parce que les consommateurs n’étaient pas prêts à payer pour l’anonymat sur le Web
Others aren’t convinced. Austin Hill, one of the founders of Zero-Knowledge Systems and now CEO of Akoha.org, says most people remain unaware of what happens to their information online — and unwilling to make sacrifices to protect it.
“Ask people if they care about the environment they’ll say yes, but they’re not willing to give up their SUVs,” says Hill. “Ask if they care about privacy, they’ll say yes, absolutely, but I will not take down my MySpace page with my 400 friends on it because that’s how I socialize. They’re very unaware that these pages get indexed, archived, and become part of their public record.
“I hate to say this, because I am a big fan of privacy,” Hill adds. “But I think as a society we are redefining our understanding of what ‘privacy’ means, and unfortunately not for the better.”
Mais des rumeurs persistantes soutiennent qu’il a plutôt été forcé à ce redéploiement par diverses pressions de natures étatiques…
Vous pourriez aussi aimé lire mes billets ou les articles
Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois
PL-14 sur la transformation numérique et les données personnelles, un pas en avant pour des km de retards
Cryptographie quantique…une réalité!
Les médias découvrent que BlackBerry de RIM n’est pas impénétrable, Petit réveil matinal (wake-up call)
Amazon déploie 20 lobbyiste au québec
Des cours gratuits d’Amazon aux fonctionnaires québécois
Amazon accusé de faire du «lobbyisme caché»
Article publié le mardi, 29 octobre 2019 sous les rubriques Big data, cybersécurité, Droit et Internet, Economie des affaires électroniques et politique et internet.
Vous pouvez suivre les commentaires sur cet article via ce fil RSS.
Vous pouvez laisser un commentaire ci-dessous ou un rétrolien à partir de votre site.
Libelés : AWS, cloud act, cryptographie, Direction informatique, Micrologic, sherweb.
C’est en lisant l’article Les data centers chinois rejettent autant de CO2 que 21 millions de voitures du magazine en ligne Usbeketrica que ça m’a frappé. En effet, les Chinois polluent énormément avec leurs fermes de serveurs. La raison principale de cette pollution est lié à la production d’électricité nécessaire au fonctionnement de ces fermes de serveurs, qui se fait avec des centrales au charbon. D’ailleurs, chez Radio-Canada on apprenait que :
Le charbon est une des ressources naturelles les plus exploitées. Il répond à près du tiers de la demande énergétique mondiale. Il représente 44% des émissions de gaz carbonique dans le secteur de l’énergie.(…)
Les plus importantes réserves connues se trouvent aux États-Unis, en Russie, en Chine et en Inde. Le plus grand producteur et consommateur mondial de cette ressource est toutefois la Chine. À lui seul, ce pays — qui produit 80 % de son électricité grâce au charbon — consommera l’an prochain plus de charbon que tous les autres pays réunis.
Or le Québec est l’un des grands producteurs mondiaux d’hydro-électricité et ici il fait froid. Il faut comprendre que l’énergie utilisée pour les fermes de serveurs sert à faire fonctionner ces serveurs, mais aussi à les réfrigérer et à diminuer la grande chaleur qu’ils produisent. Or , nous pouvons faire ça de façon naturelle, et avec de l’énergie propre. En outre, nous pourrions aussi récupérer une portion de cette chaleur produite, à d’autres fins. En outre, nous pourrions développer ces fermes à proximité des grands barrages qui sont en régions éloignées et du même coup, en assurer plus facilement la sécurité physique. Mais pour ce faire, il faudrait aussi que la fibre optique s’y rende. Je vous mentionne au passage que le plus gros réseau de fibre optique au Québec est celui d’Hydro-Québec, qui s’y rend déjà…
Mais bon, il semble que le gouvernement actuel préfère de loin donner des contrats aux multinationales américaines et mettre nos données en danger à cause du Cloud Act dont j’ai déjà parlé, plutôt que d’investir ici et développer ce qui pourrait faire de nous des leaders mondiaux à cause notamment des arguments verts dont je viens de vous parler…
Article publié le vendredi, 13 septembre 2019 sous la rubrique politique et internet.
Vous pouvez suivre les commentaires sur cet article via ce fil RSS.
Vous pouvez laisser un commentaire ci-dessous ou un rétrolien à partir de votre site.
Libelés : cloud act, infonuagique.
Le gouvernement pourrait privilégier les fournisseurs d’infonuagique à propriété québécoise, ce qui en garantirait la protection de la souveraineté numérique de nos données. Mais malheureusement, il semble préférer prendre le risque d’offrir nos données au gouvernement américain. Il s’agit de l’Appel d’intérêt numéro : AI-7784 : Mise en place d’offres infonuagiques – Solutions d’infrastructure-service, de plateforme-service et solutions de logiciel-service reliées et de ces annexes et addendas. Comme vous le verrez, le diable est dans les détails et ces détails quelquefois, concourent à favoriser celui-ci…
Explication
Vous le savez peut-être, le gouvernement du Québec a décidé de migrer les données du gouvernement vers l’infonuagique, communément appelé le nuage (ou le cloud). Le but de l’opération est d’économiser l’argent des contribuables et de centraliser les données afin d’augmenter l’efficacité des ministères. Ce qui est tout à fait louable et maintenant rendu nécessaire étant donné la multiplication des centres serveurs, et des technologies différentes et désuètes, qui requièrent des expertises de plus en plus diversifiées et difficiles à maintenir. Dans un reportage de TVA, nous apprenons que les données des Québécois sont à risque :
Les données de Québécois stockées dans les multiples centres de traitement sont vulnérables aux attaques informatiques, affirme le ministre délégué à la Transformation numérique, Éric Caire.
«La situation actuelle du Québec est à risque», a admis le ministre, lundi matin, en ouverture de la Semaine NumériQc, qui a lieu au Terminal de croisière, à Québec. «Il y a des brèches de sécurité».
Le Conseil du trésor a annoncé récemment son désir de placer au moins 80% des données des Québécois dans un système infonuagique appartenant à des entreprises privées comme IBM, Amazon et Microsoft. Les autres données, celles considérées comme les plus sensibles, seront protégées dans un nuage gouvernemental.
Ainsi, le gouvernement va éliminer les 457 centres de traitement informatique où sont hébergées nos données et n’en garder que deux principaux.
Pour enrayer ce problème de multiplicité des technologies et des centres de données, le gouvernement pourrait décider de développer son propre nuage, s’associer au Nuage Fédéral du Canada (comme certaines provinces le font) ou sous-contracter à l’entreprise privée l’hébergement dans le nuage de nos données. C’est cette dernière solution que le gouvernement a adoptée en faisant une demande d’appel d’intérêt en ce sens.
Le gouvernement pourrait privilégier l’offre des entreprises d’infonuagique québécoises, ou ouvrir son offre de service aux revendeurs d’infonuagique d’entreprises américaines ou à ces entreprises américaines elles-mêmes. Il semble qu’encore une fois, ce soit les entreprises américaines qui soient privilégiées.
Comment le gouvernement écarte-t-il les entreprises québécoises?
La rédaction d’appel d’intérêt est un outil permettant d’acquérir des services ou des technologies désirées par une organisation gouvernementale. Or, la rédaction d’un avis et les spécificités qui y sont exigées (à tort ou à raison) peuvent de facto, exclure des fournisseurs potentiels qui pourraient vendre ces produits et services. C’est exactement ce qui se passe avec l’appel d’intérêt d’infonuagique du gouvernement. On exige des spécifications techniques et de sécurité qui dépassent les capacités des entreprises québécoises à remplir et qui ne peuvent l’être dans les faits, que par des multinationales américaines à la Amazon, IBM ou Microsoft. On ne parle pas ici d’exigences minimales de sécurité, mais bien d’exigences maximales. Les fonctionnaires semblent s’être passé le mot pour tout faire en leur possible pour disqualifier notre offre locale avant même qu’elle puisse soumissionner… En voici quelques exemples tirés de l’addenda No6.
1. 1. Question L’exigence de 5000 serveurs virtuels et un minimum de 7 Péta octets (Po) de stockage nous apparaît comme une exigence ne pouvant être rencontrée que par 2 ou 3 fournisseurs. Afin de permettre à un plus grand nombre de fournisseurs de se qualifier et ainsi favoriser la compétition, est-ce que ces quantités de serveurs et de stockage peuvent être moindre ?
Réponse L’exigence est maintenue. Le Courtier veut qualifier des infrastructures dont l’envergure est au moins équivalente à celles de grands organismes publics. Comme mentionné à l’article AI-1.11.1 du document d’appel d’intérêt, à défaut de pouvoir qualifier des offres dans le présent appel d’intérêt, le fournisseur pourra fournir une nouvelle proposition lors de prochains appels d’intérêt.
4. Question À l’annexe 15, Exigences de sécurité, vous demandez ceci : Rapport d’audit de conformité basé sur le standard SSAE 16/SOC 2 Type II : Le fournisseur doit fournir au Courtier une copie du rapport d’audit SSAE 16/SOC 2 Type II datant d’au plus deux ans précédant la date de dépôt des réponses et attestant de la conformité à l’exigence. Nous possédons actuellement le standard SOC 2 Type I. Pour obtenir le standard Type II, nous devons avoir un historique de 12 mois à fournir en Type I. Nous sommes actuellement en cours de processus afin de l’obtenir. Accepteriez-vous que nous fournissions notre rapport actuel sous promesse de vous fournir le rapport Soc 2 Type II avant le 1er février 2020?
Réponse L’exigence est maintenue telle quelle. La présente démarche de qualification ne peut permettre aucun compromis en matière de sécurité. Un rapport d’audit de conformité basé sur le standard SSAE 16/SOC 2 Type I n’est pas conforme, que ce soit temporaire ou permanent, puisque ce rapport n’est pas jugé équivalent à la norme ISO 27001:2013. Comme mentionné à l’article AI-1.11.1 du document d’appel d’intérêt, à défaut de pouvoir qualifier des offres dans le présent appel d’intérêt, le fournisseur pourra fournir une nouvelle proposition lors de prochains appels d’intérêt.
Le marché de l’infonuagique québécois est assez récent. Il n’a pas la longévité du marché des multinationales américaines. Par contre, il se développe à une vitesse étonnante et pourra, si le gouvernement lui en donne la chance, rivaliser avec les plus grandes entreprises mondiales. Déjà, des institutions financières et des multinationales lui font confiance. Mais il semble que notre gouvernement préfère jouer les « clients difficiles » pour les disqualifier avant même que la course ne soit ouverte.
Pourquoi est-ce inquiétant?
Dans la question 1, les exigences sont telles qui si certains hébergeurs infonuagiques québécois décidaient de faire alliance et se partager le contrat, ils ne le pourraient pas. Déjà, de passer de 457 centres de traitement à cinq ou six afin de permettre à nos entreprises à soumissionner, ce serait un très grand avancement. Mais le gouvernement est intransigeant. Il n’en veut qu’un. Dans la question quatre, on comprend que certaines entreprises ont l’exigence de sécurité SSAE 16/SOC 2 Type II qui est très difficile et dispendieuse à obtenir, mais qu’ils doivent encore attendre quelques mois avant d’avoir la confirmation externe de l’accréditation. Encore une fois, le gouvernement ne veut rien savoir.
Le gouvernement aura de toute évidence le choix entre plusieurs fournisseurs ou revendeurs américains et aucune offre d’hébergeurs d’infonuagique québécois. À cause du Cloud Act, comme je l’expliquais dans mon billet Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois.
Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain.
Par ailleurs, Cloud.ca prétend que :
The goal of the CLOUD act was designed to help American agencies solve the legal challenges of cross-border data collection and the application of US law in those foreign territories. The result is that this law now enables the US government to legally access data outside the US that is being managed by US companies. In effect, the data is considered under US custody & control. In addition, the same US agencies can enforce a communication ban for US companies to not disclose that the data has been collected.
Servercloudcanada.com est encore plus incisif et inquiétant quant à la prétention des pouvoirs qu’accorderait le Cloud Act
It has long been requested that the SCA become modernized. Under the CLOUD Act, American authorities can now issue a warrant or subpoena to compel U.S. based service providers to present requested data. This applies to service providers located in both the U.S. and in foreign countries such as Canada. The U.S. government has given itself the power to request data even when it breaches foreign law.
(…)
The CLOUD Act extends the reach of law enforcement, but no update has been made to the law requiring a warrant for content. Typically, officials are obliged to show a reason for investigating a suspected criminal or possible crime. But current law does not impose a standard of probable cause for electronic communications. This discrepancy has been recognized by America’s most high-ranking law enforcement officers and has been fixed in similar bills. However, the CLOUD Act remains untouched.
(…)
Some larger cloud companies can appear to be trustworthy providers if they have data centres located in Canada. But location means nothing if these companies are American-owned.
Et pour finir, la CBC disait quant à elle, ceci:
The U.S. has served notice it wants an end to measures that restrict cross-border data flows, or require the use or installation of local computing facilities. It is among the American goals for ongoing NAFTA renegotiation, posing a possible headache for Canada’s cloud-computing plans.
Conclusion
Le gouvernement pourra avoir toutes les exigences et garanties de sécurité imaginables. Si le gouvernement américain décide de venir fouiller dans ses données, ce sera à son fournisseur de le défendre, selon son bon vouloir. Il n’aura même pas la possibilité de le faire lui-même. Par contre, il pourrait aussi décider de donner une chance sérieuse à notre industrie d’infonuagique locale, la surveiller de très près et l’aider à grandir et par le fait même à consolider une expertise et des emplois ici…
Article publié le mercredi, 8 mai 2019 sous les rubriques cybersécurité, Droit et Internet, Gouvernement électronique, politique et internet et Technologies Internet.
Vous pouvez suivre les commentaires sur cet article via ce fil RSS.
Vous pouvez laisser un commentaire ci-dessous ou un rétrolien à partir de votre site.
Libelés : Appel d’intérêt numéro : AI-7784, Éric Caire, cloud act, de plateforme-service et solutions de logiciel-service reliées, infonuagique, Mise en place d’offres infonuagiques – Solutions d’infrastructure-service.
Déjà, avec le USA Patriot Act, plusieurs gestionnaires qui ont à cœur la confidentialité des données personnelles et encore plus stratégiquement, la protection des secrets industriels et d’affaires choisissaient d’héberger les serveurs des organisations et entreprises au Canada, afin de limiter les ponctions extérieures à ces mêmes données. Mais avec le Clarifying Lawful Overseas Use of Data Act, mieux connu sous le nom de USA Cloud Act, les questions deviennent plus troublantes. Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain. C’était d’ailleurs l’un des points que j’avais mis de l’avant dans le Plan numérique du Parti Québécois, lors de la dernière élection. J’y parlais de souveraineté numérique.
Doter le Québec de ses propres « fermes » de serveurs gouvernementaux, afin d’assurer sa pleine souveraineté en matière de données publiques gouvernementales.
À l’heure actuelle, il est impossible pour le gouvernement du Québec de garantir que les données sensibles des Québécois (information fiscale, de santé et autres) sont hébergées en infonuagique sur des serveurs québécois, ou selon les standards des lois québécoises.
Quelle est la controverse du Cloud Act?
(Traduit librement de ServerCloudCanada) Les autorités américaines peuvent désormais, grâce au Cloud Act, obtenir un subpoena obligeant les entreprises d’infonuagique américaines, à dévoiler aux autorités les données qu’ils requièrent. Cela s’applique à tous fournisseurs d’infonuagique américain qu’ils soient en sol américain ou dans d’autres juridictions comme disons, le Canada. Ainsi, le gouvernement américain s’arroge le droit d’accaparer des données dans des juridictions étrangères même si ces requêtes peuvent contrevenir aux lois de ces autres juridictions.
On peut donc en comprendre que même si les serveurs d’infonuagiques sont en sol canadien, ça n’aura aucune importance sur la protection des données qui sont hébergées chez des fournisseurs d’origines américaines. Qui plus est, il est même possible que les gouvernements et les propriétaires des données qui seront saisies par le gouvernement américain ne soient pas informés de ladite saisie comme le laisse entendre un article de The Verge, citant de nombreuses organisations de protection de la vie privée américaines.
A number of nonprofit groups oppose the bill on privacy grounds, including the American Civil Liberties Union, Electronic Frontier Foundation, Amnesty International, and the Open Technology Institute. The harshest criticism focuses on the new powers granted to the attorney general, who can enter into agreements with foreign countries unilaterally. Those agreements could potentially circumvent the protections of US courts. The act also wouldn’t require users or local governments to be notified when a data request is made, making meaningful oversight significantly harder.
Nonobstant cette nouvelle loi américaine, j’avais déjà fait état de la coercition de certains services de sécurité américains envers des entreprises d’hébergement canadiens dans mon billet Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer. Nos données sont donc de plus en plus en danger d’être scrutées, sans notre accord et c’est pourquoi il m’apparait judicieux, que les gouvernements du Québec et du Canada se dotent de leurs propres serveurs de données afin de protéger les données sensibles des Québécois et des Canadiens. C’est d’ailleurs le récent article L’identité des acheteurs de pot à risque L’adresse IP des Québécois qui consultent le site web de la SQDC passe par la Californie qui m’a mis la puce à l’oreille.
Vous pourriez aussi aimer
Les données personnelles des Québécois sont-elles déjà scrutées par les Américains
Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer https://www.michelleblanc.com/2013/06/14/primeur-le-chantage-des-services-secrets-americains-pour-contraindre-les-entreprises-canadiennes-a-cooperer/
Article publié le jeudi, 1 novembre 2018 sous les rubriques cybersécurité, Droit et Internet, hacking et politique et internet.
Vous pouvez suivre les commentaires sur cet article via ce fil RSS.
Vous pouvez laisser un commentaire ci-dessous ou un rétrolien à partir de votre site.
Libelés : cloud act, patriot act.
