La quantité de données hebergées en ligne est en forte expansion. Un marché où l’Allemagne se place en tête grâce à des lois sur la protection de la vie privée très strictes. Mais la Suisse a aussi une carte à jouer grâce à sa réputation en matière de sécurité et de discrétion.
Plus de 1’000 milliards de dollars devraient être alloués à la transition vers l’hébergement de données en ligne, ou cloud, entre 2016 et 2020. Mais à quelles entreprises confier ses données et celles de ses clients? Où peut-on avoir confiance? L’emplacement des serveurs de données est primordial, car ils sont soumis à la législation du pays où ils se trouvent. Avec l’essor du nationalisme et la négligence de certains états à l’égard de la protection de la vie privée au nom de la sécurité, l’Allemagne, qui applique les règles les plus strictes d’Europe en matière de protection des données, pourrait constituer le bon choix.
Pas étonnant que des géants américains du cloud comme Amazon, Salesforce, IBM et Microsoft, aient ouvert des centres de stockage de données en Allemagne ces trois dernières années. «Notre histoire nous a poussés à adopter des lois sur la protection de la vie privée très contraignantes», explique Ahmad-Reza Sadeghi, directeur de la sécurité des systèmes à l’Université technique de Darmstadt. En effet, les données personnelles peuvent seulement être divulguées avec l’accord de leur propriétaire. L’Allemagne a aussi fortement contribué à l’adoption du règlement général sur la protection des données de l’Union européenne (UE) qui entrera en vigueur en 2018.
La forteresse allemande
Le marché allemand des services de cloud a bondi de 1,4 milliard d’euros en 2012 à 9,2 milliards d’euros en 2015. 65% des entreprises allemandes déclarent en utiliser en 2016. Cela reste cependant marginal comparé aux 209 milliards de dollars investis sur le marché mondial l’an dernier. L’Europe est le plus gros acteur après les états-Unis. Le Royaume-Uni figure en tête, suivi de l’Allemagne, qui devrait afficher la meilleure croissance européenne d’ici à 2020.
Le cloud allemand se distingue entre autres par l’offre de T-Systems, la filiale de Deutsche Telekom dédiée aux entreprises, et ses «forteresses high-tech». Deutsche Telekom s’est associée au géant chinois Huawei pour déployer une plateforme cloud publique: Open Telekom Cloud. Salesforce et Microsoft ont aussi collaboré avec la filiale, qui supervise tous les accès aux données. Jorge Cardoso, architecte en chef des analyses et des opérations de cloud au Centre de recherche allemand de Huawei, explique que l’entreprise chinoise offre des services conjoints à ses clients en Europe et non des solutions directes de cloud. «Nous allons proposer un service de calcul haute performance (HPC) sur l’Open Telekom Cloud pour les clients souhaitant effectuer des simulations très poussées», annonce Jorge Cardoso.
Selon Jorge Cardoso, l’Allemagne attire toujours plus de fournisseurs de services de cloud comme Huawei en raison de son rôle de leader européen de la sécurité des données. «Aucune grande entreprise allemande ne stockerait ses données financières aux états-Unis, de peur que le FBI y ait accès. Les grandes entreprises américaines créeront de plus en plus de centres de données en Allemagne.»
Or, les entreprises étrangères ayant des centres de données dans l’UE ne sont pas nécessairement à l’abri. Si Microsoft a remporté une bataille juridique face au Ministère américain de la justice qui voulait accéder aux données de ses clients sauvegardées sur des serveurs irlandais, Google a en revanche été prié de transmettre des e-mails stockés à l’étranger. Le géant américain a fait appel de cette décision, mais le mal est peut-être déjà fait.
Cela n’empêche toutefois pas Ahmad-Reza Sadeghi de penser que le pays est le mieux placé en Europe concernant le cloud. «Il n’y a qu’au Royaume-Uni où l’on accorde autant d’importance à la sécurité dans le cadre de la recherche et des financements, ajoute-t-il. Mais comment faire confiance à une entreprise de cloud britannique compte tenu de la proximité du pays avec les états-Unis?»
Vient ensuite la Suisse
La Suisse fait valoir sa réputation en termes de sécurité et de discrétion pour le stockage en cloud. Selon l’association Vigiswiss Swiss Data Center Association, «la Suisse est une démocratie neutre d’un point de vue politique, stable et pragmatique, possédant une culture de la confidentialité». Ahmad-Reza Sadeghi ajoute: «Si la Suisse parvient à garder les capitaux à l’abri, y compris ceux de dictateurs, elle devrait également y arriver avec les données.» Le Liechtenstein et le Luxembourg sont également des candidats sérieux.
Pourtant, d’après les directives européennes sur les pays sûrs pour le stockage de données, les lois suisses sont simplement décrites comme «adéquates». Le havre de sécurité du futur s’appuiera certes sur la législation, mais aussi sur la technologie. «Tout le monde connaît la précision de la technologie et de l’ingénierie allemandes, mais aussi la nature et la rigueur de sa législation. L’Allemagne constitue donc le choix idéal pour les services de cloud et de données», conclut Jorge Cardoso»
_______
Clés privées, clés publiques
De nombreuses opérations en ligne sont chiffrées grâce à l’algorithme RSA, une méthode de cryptographie mise au point à la fin années 1970.
Dans la barre d’adresse du navigateur, le préfixe «https» indique que les données du site sont cryptées avec le système RSA. Créée par trois mathématiciens américains en 1977, cette méthode fréquemment utilisée pour les services bancaires en ligne garantit la confidentialité des informations échangées.
Le chiffrement RSA repose sur l’utilisation de deux nombres premiers aléatoires de 300 à 600 chiffres, dont le produit permet d’obtenir une clé publique. Cette dernière est enregistrée sur un serveur, auquel le navigateur transmet les données ainsi chiffrées. Pour les décrypter, les facteurs initiaux, stockés sur le serveur précité, sont indispensables, et seules les personnes qui y ont accès connaissent la combinaison, ou clé privée.
Cette technologie est-elle sûre? Le système RSA part du principe que la factorisation d’un très grand nombre est une tâche extrêmement complexe qu’un superordinateur mettrait des années à exécuter. Cependant, Arjen Lenstra, professeur à l’école polytechnique fédérale de Lausanne, a découvert en 2012 que 0,2% des clés étaient vulnérables, car les nombres premiers qui les composaient appartenaient à un ensemble restreint, entraînant des doublons lors de la génération des clés. Pour autant, le système lui-même ne présente pas de faille. «Si l’on décidait de s’attaquer à un système, on aurait fort à faire à concentrer ses efforts sur les points d’entrée les plus robustes», explique-t-il. En revanche, la génération aléatoire de nombres premiers est plus problématique: elle expose, selon la simplicité du mécanisme, au risque de piratage. Toutefois, le pourcentage de clés concernées est infime et l’algorithme RSA a sûrement encore de belles années devant lui.
_______
De Morris à WannaCry: la litanie des cyberattaques
Novembre 1988: le ver Morris
Aussi connu sous le nom de «ver internet», il a été lancé sur le réseau américain ARPAnet (ancêtre d’internet) et s’est répandu sur
6’000 ordinateurs du réseau.
Été 1994: le vol de Citibank
Dix millions de dollars ont été dérobés à Citibank par des hackers russes et transférés sur des comptes bancaires partout dans le monde.
Mars 1999: le virus Melissa
Ce macrovirus d’envoi massif d’e-mails est rapidement devenu le logiciel malveillant le plus coûteux de son époque, ayant causé 80 millions de dollars de dégâts.
Mai 2000: le ver ILOVEYOU
L’un des plus dévastateurs de l’histoire, infectant rapidement des millions d’ordinateurs.
Février 2001: le ver Anna Kournikova
En ouvrant une photo de la star de tennis russe en pièce jointe d’un e-mail, les utilisateurs lançaient à leur insu un script viral de transfert du message.
Avril 2007: les attaques DoS estoniennes
Des sites internet estoniens, dont celui du parlement, ont essuyé une série de cyberattaques alors même que le pays procédait à l’enlèvement d’un monument datant de la période soviétique, ce qui contrariait la Russie.
Janvier 2010: Stuxnet
Ce ver informatique conçu par les Américains et les Israéliens est connu pour avoir nui au programme nucléaire iranien.
Octobre 2012: Red October
Découvert en 2012, ce logiciel malveillant qui visait des organisations diplomatiques et scientifiques dans au moins 39 pays a opéré à l’échelle internationale pendant cinq ans.
Juin 2015: le cybervol du gouvernement des états-Unis
Les données de plus de 21 millions de personnes conservées par l’Office of Personnel Management ont été dérobées.
Mai 2017: l’attaque du logiciel de rançon WannaCry
Cette attaque sans précédent a infecté plus de 230’000 ordinateurs dans plus de 150 pays, perturbant les activités de plusieurs compagnies ferroviaires et aériennes.
_______
Une version de cet article est parue dans le magazine Technologist (n°14).